TR/Dldr.Small.cbx.5 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Small.cbx.5
Entdeckt am:	22/12/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	49.152 Bytes
MD5 Prüfsumme:	2e36d4f342ce7f2c260B47d9419229d9
VDF Version:	6.33.00.54 - Thu, 22 Dec 2005 15:41 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Spam-Mailbot
   • Kaspersky: SpamTool.Win32.Mailbot.m
   • Bitdefender: Trojan.Agent.BB

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Lädt Dateien herunter
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es wird folgende Datei erstellt:

– %SYSDIR%\msctl32.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.cbx.5

Registry Folgender Registryschlüssel wird hinzugefügt:

– [KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Winlogon\Notify\msctl32.dll]
   • "DllName"="%SYSDIR%\msctl32.dll"
   • "Startup"="Startup"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000000

Email Die Malware verfügt über eine eigene SMTP engine um Spam Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Gesammelte Adressen aus dem Internet. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.

An:
– Gesammelte Adressen aus dem Internet.

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .wab
   • .tbb
   • .tbi
   • .doc
   • .xls
   • .txt
   • .csv
   • .htm
   • .html
   • .xml

Hintertür Kontaktiert Server:
Alle der folgenden:
   • log**********up.biz/cgi-bin/save.pl
   • log**********up.biz/cgi-bin/login.pl
   • log**********up.biz/cgi-bin/result.pl

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines CGI Scripts.

Sende Informationen über:
    • Gesammelte Email Adressen
    • Art der Internetverbindung
    • IP Adresse
    • Aktueller Malware Status
    • Systemverzeichnis
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Registry editieren
    • Datei ausführen
    • Emails verschicken
    • Besuch einer Webseite

Injektion – Es injiziert folgende Datei in einen Prozess: msctl32.dll

Prozessname:
• winlogon.exe

Diverses Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
• ftp.icq.com/pub/ICQ_Win95_98_NT4/ICQ_5/icq5_setup.exe
• ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.7/win32/en-US/Firefox%20Setup%201.0.7.exe

Rootkit Technologie Versteckt folgendes:
– Eigene Dateien
– Eigene Prozesse
– Eigene Registryschlüssel

Eingesetzte Methode:
• Unsichtbar von Windows API

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 03 Jan 2006 14:08 (GMT+1)
Beschreibung geändert von Daniel Constantin am Wed, 04 Jan 2006 13:48 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück