TR/NSAnti.A.319 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/NSAnti.A.319
Entdeckt am:	29/05/2006
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	283.656 Bytes
MD5 Prüfsumme:	5164477c6eac422c840Dbf1d658f599b
VDF Version:	6.34.01.29 - Wed, 03 May 2006 07:53 (GMT+1)
IVDF Version:	6.34.01.30 - Wed, 03 May 2006 10:53 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • TrendMicro: BKDR_HUIGEZI.W
   • Bitdefender: Trojan.NSAnti.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\GAME.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es wird folgende Datei erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %WINDIR%\uninstal.bat

Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %WINDIR%\uninstal.bat
Diese Batchdatei wird genutzt um eine Datei zu löschen.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Services\Colume]
   • "Description"="╣▄└φ▒╕╖▌,╣╪▒╒║≤╜½▓╗─▄╜°╨╨╧╡═│╗╣╘¡"
   • "ImagePath"="%WINDIR%\GAME.exe"
   • "ObjectName"="LocalSystem"
   • "DisplayName"="Colume"
   • "ErrorControl"=dword:00000000
   • "Start"=dword:00000002
   • "Type"=dword:00000110

– [HKLM\SYSTEM\ControlSet001\Services\Colume\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000]
   • "DeviceDesc"="Colume"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "Class"="LegacyDriver"
   • "ConfigFlags"=dword:00000000
   • "Legacy"=dword:00000001
   • "Service"="Colume"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:00000010

Hintertür Kontaktiert Server:
Den folgenden:
   • http://qcqcz.bd7x.com/**********

Außerdem wird die Verbindung regelmäßig wiederholt.

Sende Informationen über:
    • Computername
    • Information über das Windows Betriebsystem

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Alexandru Tudor am Mon, 29 May 2006 12:05 (GMT+1)
Beschreibung geändert von Alexandru Tudor am Tue, 06 Jun 2006 11:26 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück