TR/Fotomoto.F.1 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Fotomoto.F.1
Entdeckt am:	07/11/2007
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	71.232 Bytes
MD5 Prüfsumme:	d724dfe9790E373d1b92b3a35c1d0E49
IVDF Version:	7.00.00.182

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Vundo.dr trojan
   • Kaspersky: Trojan.Win32.Obfuscated.kp
   • F-Secure: Trojan.Win32.Obfuscated.kp
   • Panda: Spyware/Virtumonde
   • Grisoft: Obfustat.VUL
   • Eset: Win32/Adware.Ezula application

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei% \service"
   • "DisplayName"="DomainService"
   • "ObjectName"="LocalSystem"
   • "FailureActions"= %Hex Werte%
   • "Description"="DomainService"

Der Wert des folgenden Registry keys wird gelöscht:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • DDC

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgeführt
      wurde%\\%ausgeführte Datei%"="%Verzeichnis in dem die
      Malware ausgeführt wurde%\\%ausgeführte Datei%:"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\DomainService]

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "SFCDisable" = 0
   Neuer Wert:
   • "SFCDisable" = 4

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://24.244.141.185/**********/install.php
   • http://24.244.141.185/**********/heartbeat.php

Sende Informationen über:
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Besuch einer Webseite

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPolyX v0.5

Kurzfassung hier.

Beschreibung erstellt von Thomas Wegele am Fri, 07 Dec 2007 09:09 (GMT+1)
Beschreibung geändert von Thomas Wegele am Fri, 07 Dec 2007 13:36 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück