TR/PSW.LdPinch.arh - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/PSW.LdPinch.arh
Entdeckt am:	19/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	26.624 Bytes
MD5 Prüfsumme:	793e4f6725174fe3ce8e5a684b8c0dc2
VDF Version:	6.35.00.183 - Wed, 19 Jul 2006 08:53 (GMT+1)
IVDF Version:	6.35.00.223

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Kaspersky: Trojan-PSW.Win32.LdPinch.arh

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\csrss.exe

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "system"="%WINDIR%\csrss.exe"

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\csrss.exe"="%WINDIR%\csrss.exe:*:Enabled:csrss"

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
   • bolbes@topmail.kz

An:
Der Empfänger der Email ist folgender:
   • bolbes@topmail.kz

Betreff:
Folgende:
   • Reportsss(%Name des Computers%)

Body:
– Der Body ist leer.

Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • mass.bin
(%gestohlene Infromation%)

Hintertür Der folgende Port wird geöffnet:

– csrss.exe am TCP Port 21 um einen FTP Server zur Verfügung zu stellen.

Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • Mirabilis(ICQ)
   • RIT(The Bat)
   • Trillian
   • Outlook
   • CuteFTP
   • CuteFTP Pro
   • WS_FTP
   • Miranda IM
   • Opera
   • Mozilla
   • FileZilla
   • Punto Switcher
   • Total Commander
   • Windows Commander
   • Eudora

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Adriana Popa am Fri, 21 Jul 2006 15:20 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 21 Jul 2006 17:32 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück