TR/Vundo.GJ - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Vundo.GJ
Entdeckt am:	22/04/2008
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	cae29e9c911460048ce400648af77e34 Bytes
MD5 Prüfsumme:	39.936
IVDF Version:	7.00.03.199 - Tue, 22 Apr 2008 18:53 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Vundo trojan
   • Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.qpf
   • Eset: Win32/Adware.Virtumonde application
   • Bitdefender: Trojan.Vundo.EIK

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %Malware DLL%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%Malware DLL%"
   • "Impersonate"=dword:00000000
   • "Logon"="o"
   • "Logoff"="f"

– [HKLM\SOFTWARE\Microsoft\d8813c90]
   • @="819C098AB2CE4E24876D1D52A06FBEFD&"

– [HKCR\CLSID\{%generierter CLSID%}\InprocServer32]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%"
   • "ThreadingModel"="Both"

Prozess Beendigung Liste der Prozesse die beendet werden:
   • VBA32LDR.EXE; ccSetMgr.exe; ccEvtMgr.exe; Rtvscan.exe; VPtray.exe;
      SDtrayApp.exe; swdsvc.exe; svcntaux.exe; SpySweeperUI.exe;
      SpySweeper.exe; SAVAdminService.exe; ALsvc.exe; ALMon.exe;
      CCSVCHST.exe; npfsvc32.exe; nvcshed.exe; nvoy.exe; nprosec.exe;
      egui.exe; ekrn.exe; nod32krn.exe; nod32kui.exe; winssUI.exe;
      winssintro.exe; winssnotify.exe; winss.exe; mcvsescn.exe;
      mcvsshld.exe; mcagent.exe; mcvsrte.exe; Mcshield.exe; UdaterUI.exe;
      Mctray.exe; AVP.exe; FSAV32.exe; fssm32.exe; FSGK32.exe; fsgk32st.exe;
      spiderml.exe; drwebscd.exe; spidernt.exe; vsserv.exe; BDSS.exe;
      livesrv.exe; XCOMMSVR.EXE; avgemc.exe; avgcc.exe; avgamsvr.exe;
      avgupsvc.exe; ashWebSv.exe; ashDisp.exe; ashServ.exe; aswUpdSv.exe;
      AVGNT.EXE; AVWEBGRD.EXE; AVESVC.EXE; AVFWSVC.EXE; AVGUARD.EXE;
      BEDVavguard.exe; avgnt.exe; aawservice.exe; AD-AWARE.EXE;
      GCASSERVALERT.EXE

Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://82.98.235.70**********
   • http://65.243.103.80**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Thomas Wegele am Wed, 07 May 2008 12:17 (GMT+1)
Beschreibung geändert von Thomas Wegele am Wed, 07 May 2008 12:39 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück