English
Deutsch
Francais
Español
Italian
Home
Vireninfos
TR/Spy.Delf.MQ.2
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TR/Spy.Delf.MQ.2 - Trojan
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
TR/Spy.Delf.MQ.2
Entdeckt am:
12/01/2006
Art:
Trojan
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Niedrig
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
33.280 Bytes
MD5 Prüfsumme:
f15ade3360bb6bd5dc08ac179cdaef49
VDF Version:
6.33.00.114
- Thu, 12 Jan 2006 12:09 (GMT+1)
General
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Alias:
• Kaspersky: Trojan-Spy.Win32.Delf.mq
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
• Lädt eine Dateien herunter
• Änderung an der Registry
• Stiehlt Informationen
Dateien
Kopien seiner selbst werden hier erzeugt:
• c:\window\system32\system.exe
•
%SYSDIR%
\tmp.bak
Es wird versucht folgende Datei herunterzuladen:
– Die URL ist folgende:
• http://www.**********ucts-gold.net/vers.ini
Diese wird lokal gespeichert unter: c:\tmp.ini Der Inhalt wird genutzt um die hosts Datei zu modifizieren.
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• System service =
%SYSDIR%
\system.exe
Folgender Registryschlüssel wird geändert:
Startseite des Internet Explorers:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
Alter Wert:
• Start Page =
%Einstellungen des Benutzers%
Neuer Wert:
• Start Page = http://drc-group.net/vakantn.htm
Hosts
Die hosts Datei wird wie folgt geändert:
– In diesem Fall werden die bestehenden Einträge gelöscht.
– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
• ad.doubleclick.net; ad.fastclick.net; ads.fastclick.net;
ar.atwola.com; atdmt.com; avp.ch; avp.com; avp.com; avp.ru; awaps.net;
banner.fastclick.net; banners.fastclick.net; ca.com; ca.com;
click.atdmt.com; clicks.atdmt.com; customer.symantec.com;
dispatch.mcafee.com; dispatch.mcafee.com; download.mcafee.com;
download.mcafee.com; download.mcafee.com; download.microsoft.com;
downloads.microsoft.com; downloads1.kaspersky-labs.com;
downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.com/updates;
downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
downloads4.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
downloads-us2.kaspersky-labs.com; downloads-us3.kaspersky-labs.com;
engine.awaps.net; fastclick.net; f-secure.com; f-secure.com;
ftp.avp.ch; ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
ftp.kasperskylab.ru; ftp.sophos.com; go.microsoft.com;
ids.kaspersky-labs.com; kaspersky.com; kaspersky-labs.com;
liveupdate.symantec.com; liveupdate.symantec.com;
liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
liveupdate.symantecliveupdate.com; mast.mcafee.com; mast.mcafee.com;
mcafee.com; mcafee.com; media.fastclick.net; msdn.microsoft.com;
my-etrust.com; my-etrust.com; nai.com; nai.com; networkassociates.com;
networkassociates.com; office.microsoft.com; phx.corporate-ir.net;
rads.mcafee.com; secure.nai.com; secure.nai.com;
securityresponse.symantec.com; securityresponse.symantec.com;
service1.symantec.com; sophos.com; sophos.com; spd.atdmt.com;
support.microsoft.com; symantec.com; symantec.com; trendmicro.com;
update.symantec.com; update.symantec.com; update.symantec.com;
updates.symantec.com; updates.symantec.com;
updates1.kaspersky-labs.com; updates1.kaspersky-labs.com;
updates2.kaspersky-labs.com; updates3.kaspersky-labs.com;
updates3.kaspersky-labs.com/updates; updates4.kaspersky-labs.com;
updates5.kaspersky-labs.com; us.mcafee.com; us.mcafee.com;
vil.nai.com; viruslist.com; viruslist.ru; windowsupdate.microsoft.com;
www.avp.ch; avp.com; www.avp.com; www.avp.ru; www.awaps.net; ca.com;
www.ca.com; www.fastclick.net; www.f-secure.com; www.f-secure.com;
www.grisoft.com; www.kaspersky.com; www.kaspersky.ru; kaspersky.ru;
www.kaspersky-labs.com; www.mcafee.com; www.mcafee.com;
www.my-etrust.com; www.my-etrust.com; www.nai.com; www.nai.com;
www.networkassociates.com; www.networkassociates.com; www.sophos.com;
www.sophos.com; www.symantec.com; www.symantec.com;
www.trendmicro.com; www.trendmicro.com; www.viruslist.com;
www.viruslist.ru; www3.ca.com
– Zugriffe auf folgende Domains werden auf andere Ziele umgeleitet:
• www.bankone.com; bankone.com; halifax.com; www.halifax.com;
halifax.co.uk; www.halifax.co.uk; www.bankofamerica.com;
bankofamerica.com; www.paypal.com; paypal.com; www.lloydstsb.com;
lloydstsb.com; www.lloydstsb.co.uk; lloydstsb.co.uk; www.bbvanet.com;
bbvanet.com; www.bancopostaonline.poste.it; bancopostaonline.poste.it;
www.poste.it; poste.it; www.credem.it; credem.it; www.creval.it;
creval.it; www.gruppocarige.it; gruppocarige.it; www.rasbank.it;
rasbank.it; www.bancagenerali.it; bancagenerali.it;
www.garanti.com.tr; garanti.com.tr; www.kocbank.com.tr;
kocbank.com.tr; www.disbank.com.tr; disbank.com.tr;
www.cassarimini.it; cassarimini.it; www.unicredit.it; unicredit.it;
www.chase.com; chase.com; www.southtrust.com; southtrust.com;
www.wachovia.com; wachovia.com; www.wellsfargo.com; wellsfargo.com;
www.barclays.co.uk; barclays.co.uk; www.barclays.com; barclays.com;
www.barclays.pt; barclays.pt; www.barclays.pt; barclays.pt;
online.cassarimini.it; www.bancacarim.it; bancacarim.it; www.citi.com;
citi.com; www.citibank.com; citibank.com; www.etrade.com; etrade.com;
www.neteller.com; neteller.com; tcfbank.com; www.tcfbank.com;
hsbc.com; www.hsbc.com; hsbc.co.uk; www.hsbc.co.uk
Die modifizierte Host Datei sieht wie folgt aus:
Hintertür
Der folgende Port wird geöffnet:
– sys32.exe am TCP Port 3398 um einen Socks5 Proxy Server zur Verfügung zu stellen.
Kontaktiert Server:
Den folgenden:
• http://216.32.94.**********/log/inf.php
Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.
Sende Informationen über:
• Aus dem Diebstahl-Bereich gesammelte Informationen
Diebstahl
Es wird versucht folgende Information zu klauen:
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts
– Das Passwort des Programmes:
• The Bat
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX
Kurzfassung
hier
.
Beschreibung erstellt von Andrei Gherman am Fri, 13 Jan 2006 10:10 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Sat, 14 Jan 2006 03:57 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos TR/Spy.Delf.MQ.2
Diese Seite drucken
.gif)
