TR/VB.QN.1 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/VB.QN.1
Entdeckt am:	20/12/2004
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	77.312 Bytes
MD5 Prüfsumme:	976753dd82759b6ca8f5c4b62cc25f92
VDF Version:	6.29.00.24 - Mon, 20 Dec 2004 11:44 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Prutec
   • Kaspersky: Trojan-Spy.Win32.VB.eh
   • Sophos: Troj/Prutec-K
   • Bitdefender: Trojan.Spy.VB.ED

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt Dateien herunter
   • Lädt schädliche Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Folgende Datei wird gelöscht:
   • %Wurzelverzeichnis des Systemlaufwerks%\~

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\key.~
   • %Verzeichnis in dem die Malware ausgeführt wurde%\log.~

– %TEMPDIR%\%Hexadezimale Zahl%.exe

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://prutect.com/**********
Diese wird lokal gespeichert unter: %Verzeichnis in dem die Malware ausgeführt wurde%\iniwin32.dll Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/E2Give.D

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

Die Werte der folgenden Registry keys werden gelöscht:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{%generierter CLSID%}]
   • "InprocServ32"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]
   • @="CControl Object"
   • "AppID"=""
   • "AppId2"=dword:%Hexadezimale Zahl%
   • "AppID3"="Verified"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\InprocServer32]
   • "ThreadingModel"="apartment"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\ProgID]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\Programmable]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\TypeLib]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\
   VersionIndependentProgID]
– [HKCR\AppID\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}]
– [HKCR\AppID\IeBHOs.DLL]
– [HKCR\IeBHOs.Control\CurVer]
   • @="IeBHOs.Control.1"

– [HKCR\IeBHOs.Control\CLSID]
– [HKCR\IeBHOs.Control.1\CLSID]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\0\win32]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\FLAGS]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\HELPDIR]
– [HKLM\SOFTWARE\E2G]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Alter Wert:
   • "AppInit_DLLs"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "AppInit_DLLs"="iniwin32.dll"

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://prutect.com/**********
   • http://prutect.com/**********
   • http://216.122.145.209/**********
   • http://216.122.145.208/**********
   • http://prutect.com/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein CGI Script.
Dies geschieht mittels der HTTP POST Methode unter Verwendung eines CGI Scripts.
Die Antwort der Servers wird in folgende Datei geschrieben: %Verzeichnis in dem die Malware ausgeführt wurde%\data.~

Sende Informationen über:
    • Aktueller Malware Status
    • Plattform ID
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Besuch einer Webseite

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Thu, 04 May 2006 10:17 (GMT+1)
Beschreibung geändert von Daniel Constantin am Thu, 04 May 2006 12:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück