TR/Spy.Goldun.HW - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Goldun.HW
Entdeckt am:	27/02/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	26.713 Bytes
MD5 Prüfsumme:	3135de8c7d51db981a36c372bb5c170A
VDF Version:	6.33.01.33 - Mon, 27 Feb 2006 15:34 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Goldun.hw
   • Sophos: Troj/Haxdoor-AX
   • Bitdefender: Trojan.Dropper.Goldspy.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
• %SYSDIR%\tick48.bin

– %SYSDIR%\directpt.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Small.ckj.DLL

– %SYSDIR%\directprt.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Proxy.Goldun.HW

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directpt]
   • "nk48id"="[NG48%mehrere zufällige Zahlen von 0 - 9%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "DllName"="directpt.dll"
   • "Startup"="directpt"

Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directprt.sys
   • "DisplayName"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\directprt\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000]
   • "Service"="directprt"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="IO Direct printing service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTPRT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directprt"

Um die Windows XP Firewall zu umgehen werden folgende Einträge erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

Hintertür Die folgenden Ports werden geöffnet:

– winlogon.exe an einem zufälligen TCP port
– winlogon.exe am TCP Port 4040 um eine Shell zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • korolevlist.com/nuc/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • IP Adresse
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Information über das Windows Betriebsystem

Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede HTTPS basierende Webseite welche ein Loginformular
      enthält%
    • Anmeldeinformation

Injektion – Es injiziert folgende Datei in einen Prozess: directpt.dll

    Alle der folgenden Prozesse:
   • winlogon.exe
   • explorer.exe
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher ist%

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Dateien
– Eigener Prozess

Eingesetzte Methode:
• Unsichtbar von Windows API

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 28 Feb 2006 12:15 (GMT+1)
Beschreibung geändert von Daniel Constantin am Thu, 09 Mar 2006 14:43 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück