TR/PSW.Maran.G.5 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/PSW.Maran.G.5
Entdeckt am:	02/08/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	52.599 Bytes
MD5 Prüfsumme:	c851c808d7a10F0E45a7f0771b152a64
VDF Version:	6.35.01.35
IVDF Version:	6.35.01.35

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %SYSDIR%\sporder.dll

– %SYSDIR%\gzfmxp.dll
– %SYSDIR%\hjxrbpv.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Maran.M

– %SYSDIR%\narbpv.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Maran.M.1

– %SYSDIR%\xprasu.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Maran.M.2

– %SYSDIR%\xpvlporn.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Registry Folgender Registryschlüssel wird hinzugefügt:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000013
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%Hex Werte%

Folgende Registryschlüssel werden geändert:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9
   Neuer Wert:
   • "Serial_Access_Num"=word:00000006
     "Next_Catalog_Entry_ID"=word:000003f6
     "Num_Catalog_Entries"=word:0000000d

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000012
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000011
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000010
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000009
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000008
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000007
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000006
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000005
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000004
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000003
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000002
   Neuer Wert:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%Hex Werte%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000001
   Neuer Wert:
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%Hex Werte%

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Mon, 18 Sep 2006 09:10 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Wed, 18 Oct 2006 11:15 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück