TR/Spy.Goldun.LH.2 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.Goldun.LH.2
Entdeckt am:	21/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	15.573 Bytes
MD5 Prüfsumme:	d0e575a5b4ccdd9d7c2d426cd4ed60e5
VDF Version:	6.35.00.201 - Fri, 21 Jul 2006 15:55 (GMT+1)
IVDF Version:	6.35.00.241

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Goldun.lh
   • VirusBuster: TrojanSpy.Goldun.IX

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Es zeigt den Inhalt einer erstellten Bilddatei an:

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %SYSDIR%\msinet32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Goldun.LH.1

– %TEMPDIR%\vges.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
– %TEMPDIR%\image.bmp Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Es wird mit der vorgegebenen standard Anwendung geöffnet.

Registry Es werden browser helper objects (BHOs) registriert indem folgende keys hinzugefügt werden:

– HKCR\CLSID\{1548953E-4271-6572-6429-A23F26792311}\InprocServer32
   • "(Default)"="%SYSDIR%\msinet32.dll"
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{1548953E-4271-6572-6429-A23F26792311}

Folgender Registryschlüssel wird hinzugefügt:

– HKCR\CLSID\{1548953E-4271-6572-6429-A23F26792311}
   • "list"=hex:6f, 96, 1f, f4, e0, e6, 6c, f8, f3, 9a, 72, c8, 78, 19, dc, 74, a8, 95, ce, ab, 8a, 4e, 1f, 1f, f, 60, a1, 28, 5d, 67, 2a, 2, 53, 2b, 5, 9e, 18, 4a, e6, 3d, 7e, 77, 7e, 41, 63, 86, 81, 81, b1, 12, f4, 74, 37, f9, ec, f2, ad, 5d, 23, 16
   • "barab"=hex:6f, 96, 1f, f4, e0, e6, 6c, f8, f3, 9a, 72, c8, 78, 19, dc, 74, a8, 95, ce, ab, 8a, 4e, 1f, 1f, f, 60, a1, 28, 5d, 67, 2a, 2, 53, 2b, 5, 9e, 18, 4a, e6, 3d, 7e, 77, 7e, 41, 63, 86, 81, 81, b1, 12, f4, 54, af, 11, 8c, 94, e7, 2d, 5b, 7, 9b
   • "vbra0001"=hex:6f, 96, 1f, f4, e0, e6, 6c, f8, f3, 9a, 72, c8, 78, 19, dc, 74, a8, 95, ce, ab, 8a, 4e, 1f, 1f, f, 60, a1, 28, 5d, 67, 2a, 2, 53, 2b, 5, 9e, 18, 4a, e6, 3d, 7e, 77, 7e, 41, 63, 86, 81, 81, b1, 12, f4, dc, 27, f3, 4, c4, 15, 18
   • "fevx0001"=hex:6f, 96, 1f, f4, e0, e6, 6c, f8, f3, 9a, 72, c8, 78, 19, dc, 74, a8, 95, ce, ab, 8a, 4e, 1f, 1f, f, 60, a1, 28, 5d, 67, 2a, 2, 53, 2b, 5, 9e, 18, 4a, e6, 3d, 7e, 77, 7e, 41, 63, 86, 81, 81, b1, 12, f4, 7c, 37, 89, 94, f2, ad, 5d, 23, e
   • "fevx0002"=hex:6f, 96, 1f, f4, e0, e6, 6c, 8, e3, 2, d2, 70, 98, 9, dc, ab, f6, 15, 5e, cb, b4, 8f, 47, 27, b9, 8b, 1, a7, 7f, b6, 6a, 7b, 12, 42, 94, 6a, 7a, 23, 25, 6, c6, 48
   • "fgre0001"=hex:6f, 96, 1f, f4, e0, e6, 6c, f8, f3, 9a, 72, c8, 78, 19, dc, 74, a8, 95, ce, ab, 8a, 4e, 1f, 1f, f, 60, a1, 28, 5d, 67, 2a, 2, 53, 2b, 5, 9e, 18, 4a, e6, 3d, 7e, 77, 7e, 41, 63, 86, 81, 81, b1, 12, f4, 74, af, d9, ac, f2, ad, 5d, 23, 16
   • "fgre0002"=hex:6f, 96, 1f, f4, e0, e6, 6c, 8, e3, 2, d2, 70, 98, 9, dc, ab, f6, 15, 5e, cb, b4, 8f, 47, 27, b9, 8b, 1, a7, 7f, b6, 6a, 7b, 12, 4a, c, 3a, 42, 23, 25, 6, c6, 50
   • "notify"=hex:6f, 96, 1f, f4, e0, e6, 6c, f8, f3, 9a, 72, c8, 78, 19, dc, 74, a8, 95, ce, ab, 8a, 4e, 1f, 1f, f, 60, a1, 28, 5d, 67, 2a, 2, 53, 2b, 5, 9e, 18, 4a, e6, 3d, 7e, 77, 7e, 41, 63, 86, 81, 81, b1, 12, f4, 34, df, 21, cc, b4, 5d, 67, 93, 98, aa, e8
   • "doca0001"=hex:6f, 96, 1f, f4, e0, e6, 6c, f8, f3, 9a, 72, c8, 78, 19, dc, 74, a8, 95, ce, ab, 8a, 4e, 1f, 1f, f, 60, a1, 28, 5d, 67, 2a, 2, 53, 2b, 5, 9e, 18, 4a, e6, 3d, 7e, 77, 7e, 41, 63, 86, 81, 81, b1, 12, f4, c4, c7, 29, bc, cc, e5, 67, 2b, 90, 72, e0
   • "doca0002"=hex:6f, 96, 1f, f4, e0, e6, 6c, 8, e3, 2, d2, 70, 98, 9, dc, ab, f6, 15, 5e, cb, b4, 8f, 47, 27, b9, 8b, 1, a7, 7f, b6, 6a, 7b, 12, fa, 64, ca, 52, 19, 6d, 40, ce, b6, 98, bf

Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://scamfight.com/Themes/default/images/english/**********
   • http://marysuehubbard.com/images/**********

Alle der folgenden:
   • http://scamfight.com/Themes/default/images/english/**********
   • http://scamfight.com/Themes/default/images/english/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • IP Adresse
    • Aus dem Diebstahl-Bereich gesammelte Informationen

Möglichkeiten der Fernkontrolle:
    • Besuch einer Webseite

Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • www.e-gold.com
   • https://www.e-gold.com/acct/
   • https://www.e-gold.com/acct/spend.asp
   • https://www.e-gold.com/acct/verify.asp

– Aufgezeichnet wird:
    • Internetverkehr
    • Anmeldeinformation

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• mymutexhttpsendrequest_1516

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PE Pack

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Tue, 12 Sep 2006 09:22 (GMT+1)
Beschreibung geändert von Marius T. Nicolae am Tue, 12 Sep 2006 09:47 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück