TR/Repor.A - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Repor.A
Entdeckt am:	01/04/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	29.582 Bytes
MD5 Prüfsumme:	10ef4838aa0496d818d82a8b12fa6425
VDF Version:	6.30.00.60 - Fri, 01 Apr 2005 15:59 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Keylog-SClog
   • Kaspersky: Trojan-Spy.Win32.SCKeyLog.o
   • Grisoft: PSW.Sclog.D
   • VirusBuster: Trojan.Gogel.A
   • Bitdefender: Win32.Repor.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Verfügt über eigene Email Engine
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\csrs.exe

Es wird folgende Datei erstellt:

– %TEMPDIR%\ief%zufällige Buchstabenkombination%.tmp Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %besuchte URL%

– %TEMPDIR%\67-41 Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Name des Computers%
     %aktuelles Datum%
     %aktuelle Stunde%
     %aktuelle IP Adresse%
     %aktueller Benutzernamen%
     %alle laufenden Prozesse%
     %gestohlene Infromation%

– %SYSDIR%\srsc.dat Diese Datei enthält gesammelte Informationen über das System.
– %SYSDIR%\srsc.le Diese Datei enthält gesammelte Informationen über das System.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "csrs"="%SYSDIR%\csrs.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   csrs]
   • "DllName"="csrs.dll"
   • "Asynchronous"=dword:00000000
   • "Impersonate"=dword:00000000
   • "Lock"="WLELock"
   • "Logoff"="WLELogoff"
   • "Logon"="WLELogon"
   • "Shutdown"="WLEShutdown"
   • "StartScreenSaver"="WLEStartScreenSaver"
   • "Startup"="WLEStartup"
   • "StopScreenSaver"="WLEStopScreenSaver"
   • "Unlock"="WLEUnlock"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Design der Email:
Von: tibianhackr28@yahoo.com
An: tibianhackr28@yahoo.com
Betreff: Log report of computer %Name des Computers% (%aktueller Benutzernamen%)
Body:
   • SC-KeyLog log report

     See attached file(s)...
Dataianhänge:
   • IE_Favorites.html(%TEMPDIR%\ief%zufällige Buchstabenkombination%.tmp)
   • LogFile.log(%TEMPDIR%\67-41)

Die Email könnte wie eine der folgenden aussehen.

Diebstahl Es wird versucht folgende Information zu klauen:

– Aufgezeichnet wird:
• Tastaturanschläge
• Fensterinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Fri, 17 Mar 2006 16:38 (GMT+1)
Beschreibung geändert von Andrei Gherman am Tue, 21 Mar 2006 12:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück