TR/Dldr.VB.aan.2 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.VB.aan.2
Entdeckt am:	03/05/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	24.580 Bytes
MD5 Prüfsumme:	890C9bfa18e9fd32e95ccb129299caac
VDF Version:	6.34.01.29 - Wed, 03 May 2006 07:53 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: StartPage-IU
   • Kaspersky: Trojan-Downloader.Win32.VB.aan
   • Bitdefender: Trojan.Downloader.VB.AAN

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter

Dateien Es wird folgende Datei erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %SYSDIR%\drivers\etc\hosts.new

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://allmegabucks.com/sys/242/**********
Diese wird lokal gespeichert unter: %SYSDIR%\winsrv32.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://allmegabucks.com/sys/**********
Diese wird lokal gespeichert unter: %SYSDIR%\reger.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Click.VB.BP

– Die URL ist folgende:
   • http://allmegabucks.com/sys/242/**********
Diese wird lokal gespeichert unter: %SYSDIR%\winbl32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Hintertür Kontaktiert Server:
Den folgenden:
• http://allmegabucks.com/sys/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
• Aktueller Malware Status

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Thu, 04 May 2006 10:03 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Mon, 15 May 2006 11:18 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück