TR/Spy.Small.DG.8 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Small.DG.8
Entdeckt am:	12/01/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	61.359 Bytes
MD5 Prüfsumme:	d06b6957ad63de3b509fa3f36a36c571
VDF Version:	6.32.00.237 - Tue, 29 Nov 2005 13:17 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Small.dg
   • Bitdefender: Dropped:Trojan.KeyLogger.308

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Folgende Datei wird gelöscht:
   • %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\tmp.tmp

Es werden folgende Dateien erstellt:

– %TEMPDIR%\$_2341234.TMP
– %TEMPDIR%\$_2341233.TMP Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Small.DG.5

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.Small.DG

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Proxy.A.2

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://garlem555.com/**********?id=%zufällige Buchstabenkombination%&sv=%mehrere zufällige Zahlen von 0 - 9%&build=%mehrere zufällige Zahlen von 0 - 9%&ts=%mehrere zufällige Zahlen von 0 - 9%&ip=%aktuelle IP Adresse%&sport=%geöffneter Port%&hport=%geöffneter Port%
Diese wird lokal gespeichert unter: %TEMPDIR%\$_2341233.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Registry – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Shell"="\"%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe\""

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="explorer.exe%mehrere Leerzeichen%\"%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe\""

Hintertür Die folgenden Ports werden geöffnet:

– explorer.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– explorer.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://garlem555.com/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Versteckte Passwörter
    • Gesammelte Email Adressen
    • Erstellte Protokolldatei
    • IP Adresse
    • Aktueller Malware Status
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Information über das Windows Betriebsystem

Diebstahl Es wird versucht folgende Information zu klauen:
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede beliebige Webseite%

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Fensterinformation
    • Internetverkehr
    • Anmeldeinformation

Injektion – Es injiziert folgende Datei in einen Prozess: ibm00001.dll

    Prozessname:
   • explorer.exe

– Es injiziert folgende Datei in einen Prozess: ibm00002.dll

    Prozessname:
   • %alle laufenden Prozesse%

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• MSARCH_MUTEX_NAME

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Dateien

Eingesetzte Methode:
• Unsichtbar von Windows API

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• nspack

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Fri, 13 Jan 2006 12:45 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Mon, 13 Mar 2006 15:31 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück