TR/PSW.Lmir.art - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/PSW.Lmir.art
Entdeckt am:	20/02/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	17.721 Bytes
MD5 Prüfsumme:	67f583cb9d699b581fde383c48af46bc
VDF Version:	6.33.01.07 - Mon, 20 Feb 2006 08:28 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Kaspersky: Trojan-PSW.Win32.Lmir.art

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\winser.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %WINDIR%\vbarun.dll Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [Shutdown]
     T=
     M=
     D=
     W=

– %SYSDIR%\GroupPolicy\Machine\Scripts\scripts.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [Shutdown]
     0CmdLine=%SYSDIR%\winser.exe
     0Parameters=AVP

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run]
• KernelCheck = %SYSDIR%\winser.exe

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\wSkysoft]

Prozess Beendigung Liste der Prozesse die beendet werden:
   • assistse.exe; kregex.exe; trojdie.kxp; kvsrvxp.exe; kvmonxp.kxp;
      frogagent.exe; kvxp.kxp; ccenter.exe; ravmond.exe; ravmon.exe;
      rfwmain.exe; rfwsrv.exe; kpfwsvc.exe; kavpfw.exe; kavstart.exe;
      kmailmon.exe; kwatch.exe; avp.exe; kav.exe; kavsvc.exe; rtvscan.exe;
      ccsetmgr.exe; defwatch.exe; ccevtmgr.exe; ccapp.exe; mcshield.exe;
      mcvsescn.exe; mcdetect.exe; mcmnhdlr.exe; trojanwall.exe;
      fygtcleaner.exe; mantispm.exe; vsmon.exe; isafe.exe; zlclient.exe;
      pcclient.exe; pcctlcom.exe; tmpfw.exe; tmntsrv.exe; tmproxy.exe;
      pccguide.exe; iparmor.exe; xfilter.exe; filmsg.exe; avengine.exe;
      pavsrv51.exe; psimsvc.exe; pavprsrv.exe; tpsrv.exe; pavprsrv.exe;
      apvxdwin.exe; srvload.exe; webproxy.exe

Liste der Dienste die beendet werden:
   • KVSrvXP; KVWSC; RsCCenter; RsRavMon; RfwService; KWatchSvc; KPfwSvc;
      AVP; kavsvc; McTskshd.exe; McDetect.exe; CAISafe; vsmon; Tmntsrv;
      PcCtlCom; TmPfw; tmproxy; pmshellsrv; PAVSRV; PAVFNSVR; PSIMSVC;
      PNMSRV; PavPrSrv; TPSrv

Hintertür Sende Informationen über:
    • Versteckte Passwörter
    • Computername
    • Lokale Aktivität des Benutzers
    • Information über das Windows Betriebsystem

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Fri, 24 Feb 2006 14:29 (GMT+1)
Beschreibung geändert von Andrei Gherman am Mon, 27 Feb 2006 08:36 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück