TR/Proxy.Ciumz.BG - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Proxy.Ciumz.BG
Entdeckt am:	22/12/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	39.341 Bytes
MD5 Prüfsumme:	ae4ad95ab05a565abf20bac0b21090b8
VDF Version:	6.32.00.53 - Fri, 30 Sep 2005 08:20 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Repsamo
   • Kaspersky: Trojan-Proxy.Win32.Cimuz.bg
   • TrendMicro: TROJ_DROPPER.LF
   • Bitdefender: Trojan.Proxy.Cimuz.BG

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\mdms.exe

Folgende Dateien werden gelöscht:
   • c:\ccccccccccccccccoemrciermicomeriocmeiormcioermo
   • c:\cc5y456 455 4 54cccccccoemrciermicomeriocmeiormcioermo

Eventuell könnten folgende Dateien beschädigt werden:
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\MpfUi.Dll
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Hacker\perfiloc.dll
   • %PROGRAM FILES%\Tiny Firewall Pro\SnortImp.dll
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\Localized.DLL
   • %PROGRAM FILES%\Agnitum\Outpost Firewall\Engine.dll
   • %PROGRAM FILES%\Norton Internet Security Professional\FRERules.dll
   • %PROGRAM FILES%\Kerio\Personal Firewall 4\kfe.dll
   • %PROGRAM FILES%\Zone Labs\ZoneAlarm\vsruledb.dll

Es wird folgende Datei erstellt:

– %SYSDIR%\winacpi.dll Wir verwendet um den Prozess vor dem Task Manager zu verstecken. Erkannt als: TR/Drop.Agen.bd.A.1

– Die URLs sind folgende:
   • http://ozonung.biz/**********?%zufällige Wörter%
   • http://votreenton.biz/**********?%zufällige Wörter%
   • http://troonety.biz/**********?%zufällige Wörter%
   • http://breenten.biz/**********?%zufällige Wörter%
   • http://zurrusco.com/**********?%zufällige Wörter%
   • http://freelife4ever.com/**********?%zufällige Wörter%
   • http://213.21.215.186/**********?%zufällige Wörter%
Diese wird lokal gespeichert unter: %temporary internet files%\takeme2.htm Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SysMemory manager"="%sysdir%\mdms.exe"

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\mdms.exe"="%SYSDIR%\mdms.exe:*:Enabled:mdm_sysag"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"
   • "Version"="1.0"

– [HKCR\*\shellex\ContextMenuHandlers\sysacpildap]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}

– [HKCU\Software\mzs\mdms\mzu]
   • "cid"=%Hexadezimale Zahl%
   • "newhost"=dword:00000001
   • "pt"=dword:000006c4

– [HKCR\acpi.acpi.1]
   • @="acpi Class"

– [HKCR\acpi.acpi.1\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext]
   • @="acpi Class"

– [HKCR\acpi.ext\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext\CurVer]
   • @="acpi.acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}]
   • @="acpi"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\InprocServer32]
   • @="%SYSDIR%\winacpi.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\ProgID]
   • @="acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\Programmable]
– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\
   VersionIndependentProgID]
   • @="acpi"
   •

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0]
   • @="SimpleExt 1.0 Type Library"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0]
– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0\win32]
   • @="%SYSDIR%\winacpi.dll"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\HELPDIR]
   • @="%SYSDIR%\"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}]
   • @="ISimpleShlExt"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

Prozess Beendigung Liste der Prozesse die beendet werden:
   • amon.exe; ehmas.exe; firewall.exe; gcasDtServ.exe; gcasServ.exe;
      kpf4gui.exe; kpf4ss.exe; MpfService.exe; NPROTECT.EXE; outpost.exe;
      ZAPRO.EXE; zonealarm.exe

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Wed, 21 Dec 2005 13:56 (GMT+1)
Beschreibung geändert von Andrei Gherman am Mon, 30 Jan 2006 11:22 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück