TR/Dldr.CWS.ARQ.2 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.CWS.ARQ.2
Entdeckt am:	09/12/2005
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	15.872 Bytes
MD5 Prüfsumme:	3352212c221b39d1e1679fdcc17e2686
VDF Version:	6.33.00.16 - Fri, 09 Dec 2005 09:01 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Kaspersky: Trojan-Downloader.Win32.CWS.s

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\inet20003\services.exe

Bereiche werden einer Datei hinzugefügt.
– An: %SYSDIR%.ini Mit folgendem Inhalt:
   • load=%WINDIR%\inet20003\services.exe

Dadurch wird die besagte Datei nach einem Neustart des Systems ausgeführt.

Folgende Dateien werden gelöscht:
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Microsoft Office.hta
   • C:\web.exe

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://kom**********ka.info/mm.exe
Diese wird lokal gespeichert unter: %WINDIR%\inet20003\mm4.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Delf.ig.13.A

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "xp_system"="%windir%\inet20003\services.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "xp_system"="%windir%\inet20003\services.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%windir%\inet20003\services.exe"

Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}]
   • @=""

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Internet Explorer\Keywords]
   • ";>2d}niyimjr|7kvs4whk{ko4uls"="2/>C:C785?fvrkr4uls"
   • "<882d}niyimjr|7kvs4whk{ko4uls"="2/>B@C785?fvrkr4uls"
   • ";?52d}niyimjr|7kvs4whk{ko4uls"="2/>B>C785?fvrkr4uls"
   • ";?72d}niyimjr|7kvs4whk{ko4uls"="2/>BAC785?fvrkr4uls"
   • ";?82d}niyimjr|7kvs4whk{ko4uls"="2/>C9C785?fvrkr4uls"
   • "<9;2d}niyimjr|7kvs4whk{ko4uls"="2/>C<C785?fvrkr4uls"
   • "<9<2d}niyimjr|7kvs4whk{ko4uls"="2/>CAC785?fvrkr4uls"
   • "<8=2d}niyimjr|7kvs4whk{ko4uls"="2/>CBC785?fvrkr4uls"
   • ";>>2d}niyimjr|7kvs4whk{ko4uls"="2/>C?C785?fvrkr4uls"
   • "<9=2d}niyimjr|7kvs4whk{ko4uls"="2/>C@C785?fvrkr4uls"
   • "<9>2d}niyimjr|7kvs4whk{ko4uls"="2/>C=C785?fvrkr4uls"
   • "<:52d}niyimjr|7kvs4whk{ko4uls"="2/>C9C785?fvrkr4uls"
   • "vojzjnngh8rvmu4whk{ko4uls"="2/>B@C785?fvrkr4ulsIrlfiqo@"
   • "ywpyhll8rvmu4whk{ko4uls"="2/>B>C785?fvrkr4ulsIrlfiqo@"
   • "{lxhld8rvmu4whk{ko4uls"="2/>B<C785?fvrkr4ulsIrlfiqo@"
   • "{o{pem8rvmu4whk{ko4uls"="2/>BBC785?fvrkr4ulsIrlfiqo@"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Enable Browser Extensions"="yes"

Hintertür Kontaktiert Server:
Alle der folgenden:
   • kom**********ka.info/affcgi/try.fcgi
   • kom**********ka.info/affcgi/online.fcgi
   • kom**********ka.info/gallery20003/xpsystem/rxs.ini.php
   • kom**********katwo.info/gallery20003/xpsystem/rxs.ini.php
   • sol**********os.com/gallery20003/xpsystem/rxs.ini.php
   • kom**********ka.info/affiliate/interface.php

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels einer HTTP GET Anfrage an ein CGI Script.
Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Besuch einer Webseite

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PECompact

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Fri, 06 Jan 2006 12:28 (GMT+1)
Beschreibung geändert von Daniel Constantin am Mon, 16 Jan 2006 14:18 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück