TR/Dldr.Agent.awf.14 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Agent.awf.14
Entdeckt am:	13/09/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	22.176 Bytes
MD5 Prüfsumme:	0097a8ae129699bc8e1b28e039599405
VDF Version:	6.35.01.217 - Wed, 13 Sep 2006 08:04 (GMT+1)
IVDF Version:	6.35.01.221

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.LowZones
   • Mcafee: QLowZones-14
   • Kaspersky: Trojan-Downloader.Win32.Agent.awf
   • F-Secure: Trojan-Downloader.Win32.Agent.awf
   • Sophos: Troj/Agent-DFJ
   • VirusBuster: Trojan.DL.Agent.EMS
   • Bitdefender: Trojan.LowZones.DH

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es wird folgende Datei erstellt:

– %TEMPDIR%\abc123.pid Enthält von der Malware genutzte Parameter.

Registry Folgender Registryschlüssel wird hinzugefügt:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap\Ranges\me
   • ":Range"="Œé"
   • "*"=dword:00000002

Folgender Registryschlüssel wird geändert:

Verringert die Sicherheitseinstellungen des Internet Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2
   Alter Wert:
   • "CurrentLevel"=dword:00000000
   • "Flags"=dword:00000047
   • "1004"=dword:00000001
   • "1201"=dword:00000001
   Neuer Wert:
   • "CurrentLevel"=dword:00010000
   • "Flags"=dword:00000043
   • "1004"=dword:00000000
   • "1201"=dword:00000000
   • "1206"=dword:00000000
   • "1806"=dword:00000000
   • "1807"=dword:00000000
   • "1808"=dword:00000000
   • "1809"=dword:00000003
   • "2000"=dword:00000000
   • "2001"=dword:00000000
   • "2004"=dword:00000000
   • "2100"=dword:00000000
   • "2101"=dword:00000001
   • "2102"=dword:00000000
   • "2200"=dword:00000000
   • "2201"=dword:00000000
   • "2300"=dword:00000001

Prozess Beendigung Liste der Prozesse die beendet werden:
   • msascui.exe; fsguidll.exe; fsaw.exe; fspex.exe; fsm32.exe;
      tsantispy.exe; kavpf.exe; kav.exe; dpasnt.exe; msfwsvc.exe;
      msmpsvc.exe; mpeng.exe; mscorsvw.exe; winssnotify.exe; symlcsvc.exe;
      spbbcsvc.exe; sndsrvc.exe; nscsrvce.exe; navapsvc.exe; msmsgs.exe;
      ccsetmgr.exe; ccproxy.exe; ccetvmgr.exe; ccapp.exe;
      aluschedulersvc.exe; oasclnt.exe; msksrvr.exe; mskagent.exe;
      mscifapp.exe; mpftray.exe; mpfservice.exe; mpfagent.exe; mcvsshld.exe;
      mcvsescn.exe; mcupdate.exe; mcupdmgr.exe; mctskshd.exe; mcshield.exe;
      mcdetect.exe; mcagent.exe; zlclient.exe; vsmon.exe;
      webrootdesktopfirewall.exe; wdfdataservice.exe; ssu.exe;
      spysweeperui.exe; spysweeper.exe; firewallntservice.exe; vrmonsvc.exe;
      vrmonnt.exe; vrfwsvc.exe; hsockpe.exe; wmiprvse.exe; mxtask.exe;
      swdoctor.exe; sdhelp.exe; vir.exe; webproxy.exe; tpsrv.exe;
      srvload.exe; pskmssvc.exe; psimsvc.exe; pnmsrv.exe; pavsrv51.exe;
      pavprsrv.exe; pavfnsvr.exe; avengine.exe; avciman.exe; apvxdwin.exe;
      avp.exe; cavtray.exe; cavrid.exe; caissdt.exe; ca.exe; isafe.exe;
      ad-watch.exe

Hintertür Kontaktiert Server:
Den folgenden:
• http://88.80.5.21/check/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Möglichkeiten der Fernkontrolle:
• Datei herunterladen

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• {FA531CC1-1497-11d3-A180-3333052276C3E}

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Teodor Onisor am Wed, 20 Sep 2006 10:11 (GMT+1)
Beschreibung geändert von Teodor Onisor am Wed, 20 Sep 2006 13:28 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück