TR/Dloadr.ALQ - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dloadr.ALQ
Entdeckt am:	21/08/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	8.945 Bytes
MD5 Prüfsumme:	ff470D3026278ff89ba3ad13cb49e718
VDF Version:	6.35.01.115 - Mon, 21 Aug 2006 06:54 (GMT+1)
IVDF Version:	6.35.01.116 - Mon, 21 Aug 2006 09:55 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Dropper.Win32.Small.ard
   • TrendMicro: TROJ_DLOADER.DQB
   • Sophos: Troj/Dloadr-ALQ
   • VirusBuster: TrojanSpy.Goldun.KO
   • Bitdefender: Trojan.Dloadr.ALQ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %SYSDIR%\mscods.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dloadr.ALQ.1

– %TEMPDIR%\vbrs.bat
– %TEMPDIR%\screen.bmp

Registry Es wird ein browser helper object (BHO) registriert indem folgende keys hinzugefügt werden:

– HKCR\CLSID\{45357971-2534-8760-3685-423479197575}\InprocServer32
   • "(Default)"="%SYSDIR%\mscods.dll"
   • "ThreadingModel"="Apartment"

Folgende Registryschlüssel werden hinzugefügt:

– HKCR\CLSID\{45357971-2534-8760-3685-423479197575
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{45357971-2534-8760-3685-423479197575}]

Hintertür Kontaktiert Server:
Den folgenden:
• http://everythingdiscounted.biz/store/images/extras/**********

Hierdurch werden Hintertürfunktionen bereitgestellt. Dies geschieht mittels einer HTTP GET Anfrage an ein CGI Script.

Möglichkeiten der Fernkontrolle:
• Datei herunterladen

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Tue, 22 Aug 2006 10:43 (GMT+1)
Beschreibung geändert von Marius T. Nicolae am Thu, 07 Sep 2006 08:33 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück