TR/Packed.Klone.b.1 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Packed.Klone.b.1
Entdeckt am:	22/12/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	57.390 Bytes
MD5 Prüfsumme:	efb076d1127f415b059bf7f1798f5c80
VDF Version:	6.33.00.50 - Thu, 22 Dec 2005 10:27 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Abwiz
   • Mcafee: Galapoper
   • Kaspersky: Packed.Win32.Klone.b
   • TrendMicro: TROJ_GALAPOPER.J
   • Bitdefender: Trojan.Galapoper.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine Datei
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\sywsvcs.exe

Es wird folgende Datei erstellt:

– %SYSDIR%\zlbw.dll

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "aupdc"="%SYSDIR%\sywsvcs.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKEY_CURRENT_USER]
   • "ColorTable20"=dword:%Hexadezimale Zahl%
   • "ColorTable19"=dword:%Hexadezimale Zahl%

Email Die Malware verfügt über eine eigene SMTP engine um Spam Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Gesammelte Adressen aus dem Internet. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.

An:
– Gesammelte Adressen aus dem Internet.

Versand Sammeln von Adressen:
Es sammelt Adressen indem folgende Webseiten kontaktiert werden:
   • http://216.255.179.**********
   • http://69.50.171.**********
   • http://69.50.161.**********
   • http://65.75.151.**********
   • http://216.255.179.**********

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://216.255.179.234/cntr/**********
   • http://69.50.171.172/**********
   • http://69.50.161.106/**********
   • http://65.75.151.190/**********
   • http://216.255.179.235/clsr/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.
Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\log.txt

Sende Informationen über:
    • Computername
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Emails verschicken
    • Spam bezogen
    • Besuch einer Webseite

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• _alanchum

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 27 Dec 2005 11:56 (GMT+1)
Beschreibung geändert von Andrei Gherman am Mon, 30 Jan 2006 10:21 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück