TR/Drop.Sinowal.U - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Drop.Sinowal.U
Entdeckt am:	13/05/2006
Art:	Trojan
Nebenart:	Dropper
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	~70.000 Bytes
VDF Version:	6.34.01.76 - Sat, 13 May 2006 22:23 (GMT+1)
IVDF Version:	6.34.01.77 - Sun, 14 May 2006 14:38 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-PSW.Win32.Sinowal.u
   • TrendMicro: TSPY_SINOWAL.BR
   • Eset: Win32/TrojanDropper.Small.NEA
   • Bitdefender: Trojan.PWS.Sinowal.T

Wurde zuvor wie folgt erkannt:
   • TR/Dldr.Harnig.BP.3

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien

Dateien Es werden folgende Dateien erstellt:

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.D.3

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.M

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.D.32

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00003.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.N.6

Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist folgender:
   • MS Windows Update

Betreff:
Folgende:
   • Achtung! Wichtige Nachrichten von Microsoft Windows Update!

Body:
Der Body der Email ist folgender:

   • Achtung! Wichtige Nachrichten von Microsoft Windows Update!

     Sehr geehrte Benutzer Microsoft Windows XP!

     Gestern haben unbekannte Hacker den neuen Wurm-Virus eingesetzt. Nachdem er ins system reingreift, wird er von sich selbst nach Ihrer mailadressenliste ausgesendet, und alle Ihren Kontakte werden angesteckt. Nach der Ansteckung fängt das System instabil zu arbeiten, und der Komputer "hängt" genau nach einer Minute nach dem nächsten Hochfahren.
     Um die Benutzer des Systems Microsoft Windows XP zu schützen, haben unsere Sicherheitsspezialisten eine Erneuerung für das System entwickelt.

     Sie sollen die an den E-Mail angehängte Datei öffnen damit das System erneut wird und vollständig von neuem Wurm geschützt wird.

     Mit freundlichen Grüßen,

     Windows Update

Datei Einzelheiten Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Alexander Vukcevic am Tue, 30 May 2006 09:01 (GMT+1)
Beschreibung geändert von Robert Harja Iliescu am Tue, 05 Sep 2006 14:46 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück