TR/Click.Sma.LF.2.A - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Click.Sma.LF.2.A
Entdeckt am:	03/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	69.632 Bytes
MD5 Prüfsumme:	269e140122effec8dcf319fedb13ccbc
VDF Version:	6.35.00.110 - Mon, 03 Jul 2006 14:54 (GMT+1)
IVDF Version:	6.35.00.136 - Fri, 07 Jul 2006 14:39 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Backdoor.Rustock.B
   • TrendMicro: TROJ_COSTRAT.A
   • VirusBuster: Trojan.CL.Costrat.C

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine potentiell gefährliche Datei

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

– %SYSDIR%\lzx32.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Pakes.A.627

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://ftp.icq.com/pub/ICQ_Win95_98_NT4/ICQ_5/**********

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– HKLM\System\CurrentControlSet\Services\pe386
   • DisplayName = "Win23 PE files loader"
   • ErrorControl = 0x0
   • Group = "Base"
   • ImagePath = "\??\%SYSDIR%\lzx32.sys"
   • Start = 0x1
   • Type = 0x1

– HKLM\System\CURRENTCONTROLSET\SERVICES\pe386\Enum
   • 0 = "Root\LEGACY_PE386\0000"
   • Count = 0x1
   • NextInstance = 0x1

– HKLM\System\CurrentControlSet\Services\pe386\Security
   • Security = %Hex Werte%

Hintertür Kontaktiert Server:
Einer der folgenden:
• http://208.66.194.14/**********?page=main
• http://208.66.195.234/banner/**********

Hierdurch können Informationen gesendet werden. Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.

Diverses Internetverbindung:

Eine Namensabfrage mit folgenden Domains wird durchgeführt:
   • www.google.com
   • www.miniclip.com
   • maila.microsoft.com
   • sportsvl.com
   • www.tripadvisor.com
   • www.artima.com
   • www.eduplace.com
   • kansas.lib.overdrive.com
   • www.stuff.com.au

Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://www.google.com/search?hl=en&q=%zufällige Wörter%

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Datei
– Eigener Prozess
– Eigene Registryschlüssel

Klinkt sich in folgende API-Funktionen ein:
   • ZwOpenKey
   • ZwEnumerateKey
   • ZwQueryKey
   • ZwCreateKey
   • ZwSaveKey
   • ZwDeviceIoControlFile
   • ZwQuerySystemInformation
   • ZwInitializeRegistry

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Tue, 22 Aug 2006 14:35 (GMT+1)
Beschreibung geändert von Marius T. Nicolae am Thu, 07 Sep 2006 09:15 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück