TR/Fotomoto.E - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Fotomoto.E
Entdeckt am:	29/08/2007
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	75.284 Bytes
MD5 Prüfsumme:	1ffd1d03db9b66987c6875f5981236c1
IVDF Version:	6.39.01.57

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Downloader-BFC
   • Kaspersky: Trojan.Win32.Agent.bck
   • F-Secure: Trojan.Win32.Agent.bck
   • Sophos: Troj/Bckdr-QJL
   • Panda: Trj/Downloader.OZB
   • Eset: Win32/Agent.BCK

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
   • Type = 10
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei% /service
   • DisplayName = DomainService
   • ObjectName = LocalSystem
   • FailureActions = %Hex Werte%
   • Description = DomainService

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService\Enum]
   • 0 = Root\LEGACY_DOMAINSERVICE\0000
   • Count = 1
   • NextInstance = 1

Der Wert des folgenden Registry keys wird gelöscht:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • DDC

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %Verzeichnis in dem die Malware ausgeführt
      wurde%\%ausgeführte Datei% = %Verzeichnis in dem die
      Malware ausgeführt wurde%\%ausgeführte Datei%:*

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\DomainService]

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • SFCDisable = 0
   Neuer Wert:
   • SFCDisable = 4

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://23.244.141.185/**********/install.php
   • http://23.244.141.185/**********/heartbeat.php
   • http://23.244.141.185/**********/domains.php

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Besuch einer Webseite

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Wed, 10 Oct 2007 09:57 (GMT+1)
Beschreibung geändert von Andrei Gherman am Wed, 10 Oct 2007 10:18 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück