TR/KillAV.HI.2 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/KillAV.HI.2
Entdeckt am:	25/04/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	74.240 Bytes
MD5 Prüfsumme:	0E54d1548c0F7d1afc2778d5f6dc8f5f
VDF Version:	6.34.01.04 - Tue, 25 Apr 2006 09:24 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan.Win32.KillAV.hi
   • TrendMicro: TROJ_BRIZ.G
   • VirusBuster: trojan Trojan.KillAV.DT
   • Bitdefender: Backdoor.Agent.HB

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Terminierung von Sicherheitsprogrammen
   • Änderung an der Registry

Dateien Folgende Datei wird gelöscht:
• C:\Program Files\McAfee.com\Agent\mctskshd.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Microsoft Windows Logon Process" = "%WINDIR%\winlogon.exe"
• "Microsoft Windows Session Manager Subsystem" = "%WINDIR%\smss.exe"

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • 10.0.0.5 avp.com; 10.0.0.5 kaspersky.com; 10.0.0.5 kaspersky-labs.com;
      10.0.0.5 updates1.kaspersky.com; 10.0.0.5 updates2.kaspersky.com;
      10.0.0.5 updates3.kaspersky.com; 10.0.0.5 updates-us1.kaspersky.com;
      10.0.0.5 downloads1.kaspersky.com; 10.0.0.5
      downloads-us1.kaspersky.com; 10.0.0.5 www.avp.com; 10.0.0.5
      www.kaspersky.com; 10.0.0.5 d-ru-1f.kaspersky-labs.com; 10.0.0.5
      d-ru-1h.kaspersky-labs.com; 10.0.0.5 d-ru-2f.kaspersky-labs.com;
      10.0.0.5 d-ru-2h.kaspersky-labs.com; 10.0.0.5
      d-eu-2f.kaspersky-labs.com; 10.0.0.5 d-eu-2h.kaspersky-labs.com;
      10.0.0.5 d-eu-1f.kaspersky-labs.com; 10.0.0.5
      d-eu-1h.kaspersky-labs.com; 10.0.0.5 d-us-1f.kaspersky-labs.com;
      10.0.0.5 d-us-1h.kaspersky-labs.com; 10.0.0.5 downloads1.kaspersky.ru;
      10.0.0.5 downloads2.kaspersky.ru; 10.0.0.5 downloads3.kaspersky.ru;
      10.0.0.5 downloads4.kaspersky.ru; 10.0.0.5 downloads5.kaspersky.ru;
      10.0.0.5 eset.com; 10.0.0.5 www.eset.com; 10.0.0.5 u2.eset.com;
      10.0.0.5 u3.eset.com; 10.0.0.5 u4.eset.com; 10.0.0.5 u7.eset.com;
      10.0.0.5 82.165.250.33; 10.0.0.5 82.165.237.14; 10.0.0.5
      www.nod32.com; 10.0.0.5 nod32.com; 10.0.0.5 eset.casablanca.cz;
      10.0.0.5 casablanca.cz; 10.0.0.5 customer.symantec.com; 10.0.0.5
      liveupdate.symantec.com; 10.0.0.5 liveupdate.symantecliveupdate.com;
      10.0.0.5 securityresponse.symantec.com; 10.0.0.5 symantec.com;
      10.0.0.5 update.symantec.com; 10.0.0.5 updates.symantec.com; 10.0.0.5
      www.symantec.com; 10.0.0.5 www.norton.com; 10.0.0.5 norton.com;
      10.0.0.5 mast.mcafee.com; 10.0.0.5 mcafee.com; 10.0.0.5
      rads.mcafee.com; 10.0.0.5 www.mcafee.com; 10.0.0.5 mcafee.com;
      10.0.0.5 us.mcafee.com; 10.0.0.5 dispatch.mcafee.com; 10.0.0.5
      download.mcafee.com; 10.0.0.5 metalhead2005.info; 10.0.0.5
      my-etrust.com; 10.0.0.5 nai.com; 10.0.0.5 networkassociates.com;
      10.0.0.5 secure.nai.com; 10.0.0.5 sophos.com; 10.0.0.5 trendmicro.com;
      10.0.0.5 viruslist.com; 10.0.0.5 viruslist.com; 10.0.0.5 www.ca.com;
      10.0.0.5 www.f-secure.com; 10.0.0.5 www.microsoft.com; 10.0.0.5
      www.my-etrust.com; 10.0.0.5 www.nai.com; 10.0.0.5
      www.networkassociates.com; 10.0.0.5 www.sophos.com; 10.0.0.5
      www.trendmicro.com; 10.0.0.5 www.viruslist.com; 10.0.0.5 ca.com;
      10.0.0.5 d66.myleftnut.info; 10.0.0.5 f-secure.com

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Folgender Prozess wird beendet:
• mctskshd.exe

Folgender Dienst wird beendet:
• McAfee Task Scheduler

Diverses Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • www.microsoft.com

String:
Des Weiteren enthält es folgende Zeichenketten:
   • - ORiEN executable files protection system -
   • ------ Created by A. Fisun, 1994-2003 ------
   • ------- WWW: http://zale**********/ -------
   • -------- e-mail: zale********** ---------
   • --------------------------------------------
   • Well, you got this text, but this will be all you get :)

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Thu, 11 May 2006 11:58 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 12 May 2006 15:48 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück

TR/KillAV.HI.2 - Trojan

"Prozess einer Virenabwehr"