TR/Copiet.B.1 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Copiet.B.1
Entdeckt am:	21/06/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	20.992 Bytes
MD5 Prüfsumme:	b58eee5222843a98a2914904582bfcd8
VDF Version:	6.31.00.86 - Tue, 21 Jun 2005 07:55 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan.Win32.StartPage.aak
   • Bitdefender: Trojan.Delf.AP

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

Dateien Es werden folgende Dateien erstellt:

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Tmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
• v4.okunion.com/**********
Diese wird lokal gespeichert unter: %SYSDIR%\Media1.inf Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
• v4.okunion.com/**********
Diese wird lokal gespeichert unter: %SYSDIR%\Media2.inf Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{B48F6409-4740-475B-A474-651F54CCE460}" = ""

– [HKCR\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32]
   • "ThreadingModel" = "Apartment"
   • "@" = "%PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Dll"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 14 Mar 2006 14:05 (GMT+1)
Beschreibung geändert von Daniel Constantin am Thu, 23 Mar 2006 13:52 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück