TR/Dldr.Delf.ady - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Delf.ady
Entdeckt am:	21/12/2005
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	28.088 Bytes
MD5 Prüfsumme:	5f9598584d5e68c4bfe345064d7049f0
VDF Version:	6.33.00.47 - Wed, 21 Dec 2005 12:27 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Downloader.Win32.Delf.ady
   • Bitdefender: Trojan.Downloader.Delf.DA

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

Dateien Es wird folgende Datei erstellt:

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\InfoMs.Ime Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Delf.ady.3

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
• www.k163.net/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\xx.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Copiet.B.1

– Die URL ist folgende:
• www.tzstock.com/bbs/data/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\server.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{C217767F-E340-49B8-85D3-3A72B9CD652F}" = ""

– [HKCR\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32]
   • "ThreadingModel" = "Apartment"
   • "@" = "%PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\InfoMs.Ime"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 14 Mar 2006 11:54 (GMT+1)
Beschreibung geändert von Daniel Constantin am Tue, 14 Mar 2006 14:14 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück