TR/FURootkit - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/FURootkit
Entdeckt am:	14/03/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	19.533 Bytes
MD5 Prüfsumme:	dbd59aa4151a57c8e0124c34f9a3aef7
VDF Version:	6.30.00.74

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Hacktool.Rootkit
   • Kaspersky: Net-Worm.Win32.Mytob.r
   • TrendMicro: TROJ_ROOTDROP.A
   • Bitdefender: Trojan.Dropper.Rootkit.H

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

Dateien Es wird folgende Datei erstellt:

– %Verzeichnis in dem die Malware ausgeführt wurde%\msdirectx.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Agent.dg.2.B

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Security]
   • "Security"=hex:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"=hex(2):%malware executin directory%\msdirectx.sys
     "DisplayName"="msdirectx"

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Enum]
   • "0"="Root\\LEGACY_MSDIRECTX\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000]
   • "Service"="msdirectx"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="msdirectx"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="msdirectx"

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Wed, 15 Mar 2006 09:26 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 17 Mar 2006 11:12 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück