TR/Spy.Goldun.FN.3 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Goldun.FN.3
Entdeckt am:	16/01/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	90.340 Bytes
MD5 Prüfsumme:	2cce0a5a6806d1f10f3a61597b073636
VDF Version:	6.33.00.117 - Fri, 13 Jan 2006 10:32 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: PWS-Banker.d
   • Kaspersky: Trojan-Spy.Win32.Goldun.fn

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Es wird folgende Datei erstellt:

– %SYSDIR%\appwiz.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Goldun.FN.4

Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{78364D99-A640-4ddf-B91A-67EFF8373045}]

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\Software\Windows]
   • "phid" = "%Hex Werte%"
   • "installer_time" = dword:%Hex Werte%

– [HKCR\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}\InprocServer32]
   • "ThreadingModel" = "apartment"
   • "@" = "%SYSDIR%\appwiz.dll"

Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Enable Browser Extensions" = "%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Enable Browser Extensions" = "yes"

Hintertür Kontaktiert Server:
Den folgenden:
   • http://67.15.182.17/~exchange/2/**********?phid=%Hex Werte%&ver=1.9.99&r=%aktuelles Datum im UNIX Format%&nn=1

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • Aktueller Malware Status
    • Systemzeit
    • Lokale Aktivität des Benutzers

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Mon, 16 Jan 2006 17:38 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Fri, 20 Jan 2006 17:10 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück