TR/iBill.AJ - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/iBill.AJ
Entdeckt am:	23/04/2007
Art:	Trojan
Nebenart:	Dropper
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Hoch
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	117.976 Bytes
MD5 Prüfsumme:	91345ab1a13dbb5a27660324779402a8
VDF Version:	6.38.01.19
IVDF Version:	6.38.01.21 - Mon, 23 Apr 2007 09:20 (GMT+1)

General Alias:
   • Kaspersky: Trojan-Downloader.Win32.Nurech.bh

Betriebsystem:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei

Dateien Es wird folgende Datei erstellt:

– %SYSDIR%\ipv6monl.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Bzub.IS

Registry Es wird ein browser helper object (BHO) registriert indem folgende keys hinzugefügt werden:

– HKCR\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32\
   • "default" = "c:\windows\\System32\\ipv6monl.dll"
   • "ThreadingModel"="apartment"

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List\
   • "C:\Program Files\\Internet Explorer\\IEXPLORE.EXE" = "C:\Program
      Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load
   • "net_insll"=dword:460a10be
   • "worg"=hex:7b,d5,d9,c2,78,6d,50,41,7a,7e,4b,1e,f5,c0,a8,cc,64,44,6a,00,fe,df,\
   • 8b,3e,33,05,90,93,78,3a,fe,f9,73,2b,a0,e7,60,31,d4
   • "cmpid"=hex:ce,1c,d9,5f,20,58,66,08,03,69,25,4f,a9,9a,86,d1,34,18,01,2b,d2,fb,\
   • a5,22,76,43,96,e1,20,0f,c2,85,42,74,b1,8d,25,1b,e2,c0,06,d0,a0,0f,d1,dd,73,\
   • 94,34,59,f6,1b,a8,cf,5d,e9,72,80,62,aa,24,b8,47,c4,35,b8,46,cb

Kurzfassung hier.

Beschreibung erstellt von Dennis Elser am Mon, 23 Apr 2007 09:19 (GMT+1)
Beschreibung geändert von Alexander Vukcevic am Mon, 23 Apr 2007 10:14 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück