TR/Agent.PY.10 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Agent.PY.10
Entdeckt am:	11/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	54.784 Bytes
MD5 Prüfsumme:	eb4899e6df00aa00209f6452e92e11fd
VDF Version:	6.35.00.146 - Tue, 11 Jul 2006 07:54 (GMT+1)
IVDF Version:	6.35.00.185 - Wed, 19 Jul 2006 10:53 (GMT+1)

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Kaspersky: Backdoor.Win32.Allaple.a
   • TrendMicro: BKDR_AGENT.CXS
   • VirusBuster: Trojan.Agent.PKB
   • Bitdefender: Trojan.Agent.PY

Betriebsystem:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Änderung an der Registry

Dateien Eventuell könnten folgende Dateien beschädigt werden:
• %zufällig ausgewähltes Verzeichnis%\*.htm
• %zufällig ausgewähltes Verzeichnis%\*.html

Es werden folgende Dateien erstellt:

– %zufällig ausgewähltes Verzeichnis%\%achtstellige zufällige Buchstabenkombination%.exe
– %SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Allaple.A.1

– %SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll Erkannt als: DR/RAHack.FF.2

– %SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll Erkannt als: TR/Agent.PY.7

– %SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll Erkannt als: TR/Agent.PY.8

– %SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll Erkannt als: TR/Agent.PY.9

– %SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll Erkannt als: TR/Agent.PY.11

Registry Folgende Registryschlüssel werden hinzugefügt:

– HKCR\CLSID\{%generierter CLSID%}
   • (Default) = "%zufällige Buchstabenkombination%"

– HKCR\CLSID\{%generierter CLSID%}\LocalServer32
   • (Default) = "%zufällig ausgewähltes Verzeichnis%\%achtstellige zufällige Buchstabenkombination%.exe"

– HKCR\\CLSID\{%generierter CLSID%}\InprocServer32
   • (Default) = "%SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll"

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgende Liste von Passwörtern:
   • "123456789"; "12345678"; "11111111"; "password"; "qwertyui";
      "00000000"; "12341234"; "87654321"; "!@; $%^&*"; "*&^%$; @!"; "!@;
      $%^&*()"; "!@; $%^&*("; "(*&^%$; @!"; ")(*&^%$; @!"; "23456789";
      "PASSWORD"; "mypassword"; "remoteadmin"; "987654321"; "0987654321";
      "09876543"; "PASSWORD"; "5tg6yh"; "MyPassword"; "55555555";
      "999999999"; "22222222"; "20022002"; "20032003"; "20042004";
      "20052005"; "windoze2k"; "88888888"; "1234567890"; "0987654321";
      "nopassword"

IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert und es wird dann versuche eine Verbindung aufzubauen.

Ablauf der Infektion:
Es veranlasst den übernommenen Computer die Malware auf dessen Rechner herunterzuladen.
Die heruntergeladene Datei wird auf dem enternten computer wie folgt gespeichert: C:\wutemp\irvxc.exe

Diverses Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://www.if.ee
   • http://www.starman.ee

Mutex:
Es wird folgender Mutex erzeugt:
   • jhdgcjhasgdcjasgcjhg2763876uyg3fhg

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Thu, 31 Aug 2006 15:38 (GMT+1)
Beschreibung geändert von Marius T. Nicolae am Fri, 15 Sep 2006 14:27 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück