TR/IRCBot.36864.6 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/IRCBot.36864.6
Entdeckt am:	27/10/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	36.864 Bytes
MD5 Prüfsumme:	e9e2e113fdf03154593a6881c275f7b9
VDF Version:	6.36.01.136
IVDF Version:	6.36.01.144 - Thu, 07 Dec 2006 10:12 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: BackDoor-CMQ
   • Kaspersky: Trojan-Proxy.Win32.Horst.pg
   • TrendMicro: TROJ_HORST.HI
   • F-Secure: Trojan-Proxy.Win32.Horst.pg
   • Eset: Win32/Medbot.BW

Wurde zuvor wie folgt erkannt:
   • Worm/IRCBot.36864.6

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\smss.exe
   • %Verzeichnis in dem die Malware ausgeführt wurde%\smssb.exe

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://up.medbod.com/up/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://up.medbod.com/up/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\upd%dreistellige zufällige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ".nvsvc"="%SYSDIR%\smss.exe /w"

Der Wert des folgenden Registry keys wird gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "KAVPersonal50"

Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Neuer Wert:
   • "Start"=dword:00000004

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: news.zabaren.**********
Port: 80
Nickname: jega-1_%vierstellige zufällige Buchstabenkombination%_%vierstellige zufällige Buchstabenkombination%

Server: in.lorenim.**********
Port: 80
Nickname: jega-1_%vierstellige zufällige Buchstabenkombination%_%vierstellige zufällige Buchstabenkombination%

Server: sys.medarun.**********
Port: 80
Nickname: jega-1_%vierstellige zufällige Buchstabenkombination%_%vierstellige zufällige Buchstabenkombination%

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
• Datei herunterladen
• Datei ausführen

Prozess Beendigung Liste der Dienste die beendet werden:
   • wuauserv
   • nava
   • psvc
   • Symantec Core LC
   • SAVScan
   • kavsvc
   • wscsvc

Hintertür Kontaktiert Server:
Den folgenden:
• dl.medbod.**********:1900(UDP)

Hierdurch können Informationen gesendet werden.

Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • svchost.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• 3645FBCD-ECD2-23D0-BAC4-00DE453DEF6B

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Adriana Popa am Tue, 05 Dec 2006 13:30 (GMT+1)
Beschreibung geändert von Adriana Popa am Thu, 07 Dec 2006 11:54 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück