TR/Dldr.Agent.bky - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Agent.bky
Entdeckt am:	31/03/2007
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	13.312 Bytes
MD5 Prüfsumme:	e9100Ce97a5b4fbd8857b25ffe2d7179
VDF Version:	6.38.00.149
IVDF Version:	6.38.00.152 - Sat, 31 Mar 2007 16:39 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: W32/Fujacks.ah
   • Kaspersky: Worm.Win32.Fujack.ar
   • F-Secure: Worm.Win32.Fujack.ar
   • Panda: W32/DiskInfector.A.worm
   • Grisoft: Downloader.Agent.KCA
   • VirusBuster: Worm.OnlineGames.SD
   • Eset: Win32/Fubalca.A
   • Bitdefender: Win32.Worm.Tunga.B

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Zugriff auf Diskette
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe

Bereiche werden Dateien hinzugefügt.
– An: %alle Verzeichnisse%\*.HTML Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.ASPX Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.PHP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.JSP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.ASP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

Es wird folgende Datei erstellt:

– A:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   •

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://a.2007ip.com/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• System Boot Check="%SYSDIR%\sysload3.exe"

Injektion – Es injiziert sich in einen Prozess.

    Alle der folgenden Prozesse:
   • notepad.exe
   • IEXPLORE.EXE

Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • MySignal
   • MyInfect
   • MyDownload

String:
Des Weiteren enthält es folgende Zeichenkette:
   • I will by one BMW this year!

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Ana Maria Niculescu am Thu, 08 Nov 2007 13:00 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 09 Nov 2007 12:17 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück