TR/VB.aez.7 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/VB.aez.7
Entdeckt am:	29/12/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	27.648 Bytes
MD5 Prüfsumme:	7d70255f56097a4c7af64aa42d023462
VDF Version:	6.33.00.81 - Thu, 29 Dec 2005 12:41 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Kaspersky: Trojan.Win32.VB.aez

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt eine schädliche Dateien herunter
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\disable.reg

– %Verzeichnis in dem die Malware ausgeführt wurde%\%executed file name%.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://www.biobondy.com/source/bin/**********
Diese wird lokal gespeichert unter: %SYSDIR%\ieschedule.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/VB.agz

Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Control\InitRegKey]
   • "initMod" = "2"

Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Cache\Content]
   Alter Wert:
   • "CacheLimit"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "CacheLimit"=dword:00000400

Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   Alter Wert:
   • "DisableNotifications"=%Einstellungen des Benutzers%
   • "DoNotAllowExceptions"=%Einstellungen des Benutzers%
   • "EnableFirewall"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableNotifications"=dword:00000001
   • "DoNotAllowExceptions"=dword:00000000
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Alter Wert:
   • "AUOptions"=%Einstellungen des Benutzers%
   • "DetectionStartTime"=%Einstellungen des Benutzers%
   • "ConfigVer"=%Einstellungen des Benutzers%
   • "ResetAU"=%Einstellungen des Benutzers%
   • "ScheduledInstallDay"=%Einstellungen des Benutzers%
   • "ScheduledInstallTime"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "AUOptions"=dword:00000001
   • "DetectionStartTime"="2004.09.20 19:59:26"
   • "ConfigVer"=dword:00000001"
   • "ResetAU"=dword:00000001
   • "ScheduledInstallDay"=dword:00000000
   • "ScheduledInstallTime"=dword:00000003

Prozess Beendigung Liste der Dienste die beendet werden:
• Windows Security Center
• Windows Firewall

Diverses Internetverbindung:

Eine Namensabfrage mit folgenden Domains wird durchgeführt:
• www.microsoft.com
• www.biobondy.com

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Wed, 04 Jan 2006 15:47 (GMT+1)
Beschreibung geändert von Andrei Gherman am Mon, 30 Jan 2006 13:21 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück