TR/Agent.SN.5 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Agent.SN.5
Entdeckt am:	28/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	47.616 Bytes
MD5 Prüfsumme:	414ecabfb540ea06e8c3d2eca24762d6
VDF Version:	6.35.01.18 - Fri, 28 Jul 2006 14:39 (GMT+1) - Fri, 28 Jul 2006 14:39 (GMT+1)
IVDF Version:	6.35.01.18 - Fri, 28 Jul 2006 14:39 (GMT+1) - Fri, 28 Jul 2006 14:39 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Bitdefender: Trojan.Agent.SN

Betriebsystem:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\taskmgn.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Task Manager"="%SYSDIR%\taskmgn.exe"

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– HKLM\SOFTWARE\Microsoft\Security Center
   • "FirewallOverride"=dword:00000001

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Security Center
   • "AntiVirusOverride"=dword:00000001

– HKCU\Software\Microsoft\DMSDOS
   • "Id"="%Hexadezimale Zahl%"
   • "Next Update"="%Datum aus der Zukunft% %aktuelle Stunde%"
   • "Last Update"="%aktuelles Datum% %aktuelle Stunde%"
   • "CurrentVersion"=%Nummer%

– HKCU\SOFTWARE\Microsoft\DMSDOS\RM
   • "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://87.249.38.126/**********
   • http://87.249.38.126/asg234/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • Aktueller Malware Status
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

Diverses Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
• http://v5.windowsupdate.microsoft.com/v5consumer/QyehIhd.inc
Es wird folgender Mutex erzeugt:
• 68E1D888-19B3-4F40-8941-95EC38E4AF69

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Tue, 08 Aug 2006 12:20 (GMT+1)
Beschreibung geändert von Marius T. Nicolae am Thu, 17 Aug 2006 14:18 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück