TR/Dldr.VB.aan.1 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.VB.aan.1
Entdeckt am:	03/05/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	16.896 Bytes
MD5 Prüfsumme:	A0D9B783AC26026374893657A9EC7344
VDF Version:	6.34.01.29 - Wed, 03 May 2006 07:53 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Downloader.Win32.VB.aan
   • TrendMicro: TROJ_STARTPA.FY
   • Sophos: Troj/SpyDldr-E
   • Bitdefender: Trojan.Fakealert.CF

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine Datei
   • Änderung an der Registry

Dateien Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\shellgui32.dll

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://antispylab.com/sys/**********
Diese wird lokal gespeichert unter: %SYSDIR%\exuc32.tmp

– Die URL ist folgende:
   • http://antispylab.com/sys/**********
Diese wird lokal gespeichert unter: %SYSDIR%\winsrv32.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{62E2E094-F989-48C6-B947-6E79DA2294F9}]
   • @=""

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\TypeLib\{31F9B5A7-5B94-445D-922C-E97BF52F5FD7}\1.0]
   • @="winapi32"

– [HKCR\TypeLib\{31F9B5A7-5B94-445D-922C-E97BF52F5FD7}\1.0\0\win32]
   • @="%SYSDIR%\winapi32.dll"

– [HKCR\TypeLib\{31F9B5A7-5B94-445D-922C-E97BF52F5FD7}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{31F9B5A7-5B94-445D-922C-E97BF52F5FD7}\1.0\HELPDIR]
   • @="%SYSDIR%"

– [HKCR\Interface\{74AC67A5-CDB1-4FD2-A30B-47BD59FF28A9}]
   • @="MyBHO"

– [HKCR\Interface\{74AC67A5-CDB1-4FD2-A30B-47BD59FF28A9}]
   • @="MyBHO"

– [HKCR\Interface\{74AC67A5-CDB1-4FD2-A30B-47BD59FF28A9}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{74AC67A5-CDB1-4FD2-A30B-47BD59FF28A9}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{74AC67A5-CDB1-4FD2-A30B-47BD59FF28A9}\TypeLib]
   • @="{31F9B5A7-5B94-445D-922C-E97BF52F5FD7}"
   • "Version"="1.0"

– [HKCR\CLSID\{62E2E094-F989-48C6-B947-6E79DA2294F9}]
   • @="winapi32.MyBHO"

– [HKCR\CLSID\{62E2E094-F989-48C6-B947-6E79DA2294F9}\InprocServer32]
   • @="%SYSDIR%\winapi32.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{62E2E094-F989-48C6-B947-6E79DA2294F9}\ProgID]
   • @="winapi32.MyBHO"

– [HKCR\CLSID\{62E2E094-F989-48C6-B947-6E79DA2294F9}\TypeLib]
   • @="{31F9B5A7-5B94-445D-922C-E97BF52F5FD7}"

– [HKCR\CLSID\{62E2E094-F989-48C6-B947-6E79DA2294F9}\VERSION]
   • @="1.0"

– [HKCR\winapi32.MyBHO]
   • @="winapi32.MyBHO"

– [HKCR\winapi32.MyBHO\Clsid]
   • @="{62E2E094-F989-48C6-B947-6E79DA2294F9}"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Thu, 04 May 2006 10:44 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Mon, 15 May 2006 10:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück