TR/Dldr.TComBill.M - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.TComBill.M
Entdeckt am:	23/02/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	9.728 Bytes
MD5 Prüfsumme:	a6ee10c4f134f1e96b6b5ea74b31c70c
VDF Version:	6.33.01.20 - Thu, 23 Feb 2006 07:47 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Downloader.Win32.Small.cil
   • Bitdefender: Trojan.SickleBot.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine potentiell gefährliche Datei

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%ausgeführte Datei%.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es wird folgende Datei erstellt:

– %SYSDIR%\sysldr.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.DLL

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://www.servicedwt.com/model/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\l.exe Erkannt als: TR/PSW.Agent.fl.DLL

Registry Der Wert des folgenden Registry keys wird gelöscht:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "sysldr"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "sysldr"="%generierter CLSID%"

– [HKCR\CLSID\%generierter CLSID%\InprocServer32]
   • "@"="sysldr.dll"

Hintertür Kontaktiert Server:
Den folgenden:
• umbura.com/**********

Hierdurch werden Hintertürfunktionen bereitgestellt. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Möglichkeiten der Fernkontrolle:
• Datei herunterladen

Diverses String:
Des Weiteren enthält es folgende Zeichenkette:
• SickleBot

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Alexander Vukcevic am Thu, 23 Feb 2006 10:54 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Fri, 24 Feb 2006 18:03 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück