TR/Lager.AD.2 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Lager.AD.2
Entdeckt am:	02/03/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	49.697 Bytes
MD5 Prüfsumme:	f18ee93553c7ca4b51e015cbe337879d
VDF Version:	6.33.01.34 - Tue, 28 Feb 2006 07:03 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Abwiz
   • Mcafee: Downloader-ASH
   • Kaspersky: Packed.Win32.Tibs
   • TrendMicro: TROJ_ABWIZ.T

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\taskdir.exe

Es werden folgende Dateien erstellt:

– %SYSDIR%\comdlj32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/RKit.Agent.BK

– %SYSDIR%\zlbw.dll

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://216.255.179.235/**********
Diese wird lokal gespeichert unter: %SYSDIR%\~update.exe Zum Zeitpunkt der Analyse war dies eine neue Version der Malware.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "taskdir"="%SYSDIR%\taskdir.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%Hexadezimale Zahl%
   • "ColorTable19"=dword:%Hexadezimale Zahl%

Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://216.255.179.235/new/cntr/**********
   • http://216.255.179.235/new/cls/**********
   • http://69.50.171.172/n/**********
   • http://69.50.161.106/n/**********
   • http://69.50.184.194/n/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.
Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\log.txt

Sende Informationen über:
    • Computername
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Emails verschicken

Injektion – Es injiziert folgende Datei in einen Prozess: comdlj32.dll

Prozessname:
• %alle laufenden Prozesse%

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• _alanchum

Rootkit Technologie Versteckt folgendes:
– Eigener Prozess

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Fri, 03 Mar 2006 11:29 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Mon, 27 Mar 2006 09:15 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück