TR/Drop.Bomka.G.2 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Drop.Bomka.G.2
Entdeckt am:	09/02/2006
Art:	Trojan
Nebenart:	Dropper
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	185.953 Bytes
MD5 Prüfsumme:	141dd10Ecaaffae90828993c1f2aab70
VDF Version:	6.33.00.212 - Thu, 09 Feb 2006 07:20 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: AdClicker-DW
   • TrendMicro: TROJ_BOMKA.G
   • Sophos: Troj/Bombka-F
   • Panda: Trj/Dropper.QN
   • Bitdefender: Trojan.Downloader.Bomka.G

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\ns%zufällige Buchstabenkombination%.tmp

– %SYSDIR%\kaboom.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Bomka.G

– %TEMPDIR%\game1.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

Registry Es wird ein browser helper object (BHO) registriert indem folgende keys hinzugefügt werden:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
– [HKCR\Horde.Labspak]
   • @="Labspak"

– [HKCR\Horde.Labspak\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\Horde.Labspak\CurVer]
   • @="Horde.Labspak.1"

– [HKCR\Horde.Labspak.1]
   • @="Labspak"

– [HKCR\Horde.Labspak.1\CLSID]
   • @="{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}]
   • @="Labspak"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\InprocServer32]
   • @="%SYSDIR%\kaboom.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\ProgID]
   • @="Horde.Labspak.1"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\Programmable]
– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"

– [HKCR\CLSID\{FAFC3FDD-D9E8-4770-843D-F105F0D7E409}\
   VersionIndependentProgID]
   • @="Horde.Labspak"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0]
   • @="KABOOMLib"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\0\win32]
   • @="%SYSDIR%\kaboom.dll"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{90EC7761-4998-4536-B4D7-9EB72ADB3042}\3.0\HELPDIR]
   • @="%SYSDIR%\"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Zeal]
   • "campaign_id"="18"
   • "is_dialup"=dword:%Hexadezimale Zahl%
   • "user_id"="%sechsstellige zufällige Buchstabenkombination%"
   • "sleep_delay"=dword:%Hexadezimale Zahl%
   • "install_delay"=dword:%Hexadezimale Zahl%
   • "main_delay"=dword:%Hexadezimale Zahl%
   • "stage"=dword:%Hexadezimale Zahl%
   • "timeout"=dword:%Hexadezimale Zahl%

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}]
   • @="ILabspak"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{9F111438-8C25-4BEB-A9F6-841FD4728B22}\TypeLib]
   • @="{90EC7761-4998-4536-B4D7-9EB72ADB3042}"
   • "Version"="3.0"

Hintertür Kontaktiert Server:
Einer der folgenden:
   • joywebserfer.com/counter11/**********
   • cleverhead.info/counter11/**********
   • wannabcool.info/counter11/**********
   • somethngcool.info/counter11/**********
   • sortbycool.info/counter11/**********
   • mucho-cool.com/counter11/**********
   • epromosystems.com/counter11/**********

Den folgenden:
   • mucho-cool.com/counter11/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.
Die Antwort der Servers wird in folgende Datei geschrieben: %TEMPDIR%\s32o.%random number%

Sende Informationen über:
    • Computername
    • Aktueller Benutzer
    • Art der Internetverbindung
    • Plattform ID

Möglichkeiten der Fernkontrolle:
    • Besuch einer Webseite

Injektion – Es injiziert folgende Datei in einen Prozess: kaboom.dll

Prozessname:
• iexplore.exe

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 14 Feb 2006 09:21 (GMT+1)
Beschreibung geändert von Daniel Constantin am Tue, 14 Feb 2006 09:37 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück