TR/Hijack.Explor.1 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Hijack.Explor.1
Entdeckt am:	28/06/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	45.056 Bytes
MD5 Prüfsumme:	f508e5a83c339e32a4e0d1185873dea2
VDF Version:	6.35.00.88
IVDF Version:	6.35.00.99 - Fri, 30 Jun 2006 11:09 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Proxy.Win32.Small.ez
   • TrendMicro: TROJ_SMALL.DEF
   • F-Secure: Trojan-Proxy.Win32.Small.ez
   • Grisoft: Proxy.FRE
   • Eset: Win32/Agent.PA

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\svcroot.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\scvroot.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\svcroot.exe"

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe svcroot.exe"

Hintertür Die folgenden Ports werden geöffnet:

– iexplore.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.
– iexplore.exe am TCP Port 5050 um eine Shell zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://www.site.ru/socks/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • Computername
    • Prozessorgeschwindigkeit
    • Arbeitszeit der Malware
    • Geöffneter Port
    • Größe des Speichers
    • Benutzername
    • Information über das Windows Betriebsystem

Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • iexplore.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

Rootkit Technologie Versteckt folgendes:
– Eigene Registryschlüssel

Eingesetzte Methode:
• Unsichtbar von Windows API

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Adriana Popa am Wed, 25 Oct 2006 09:53 (GMT+1)
Beschreibung geändert von Adriana Popa am Wed, 25 Oct 2006 12:17 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück