TR/Vundo.IS - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Vundo.IS
Entdeckt am:	24/07/2008
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	93.184 Bytes
MD5 Prüfsumme:	ac0B91f457566dfbdaeb0904946aa1c4
IVDF Version:	7.00.05.160 - Thu, 24 Jul 2008 08:15 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Mcafee: Vundo trojan

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
• %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.tmp
• %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.ini

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%Hex Werte%"="rundll32.exe \"%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%",b"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\%Hex Werte%]
   • @="%Hex Werte%"
   • "red_srv"="%von der Malware genutzte Internet-Ressource%"
   • "red_srv_bckp"="%von der Malware genutzte Internet-Ressource%"

– [HKLM\SOFTWARE\Microsoft\aoprndtws]
   • @="%generierter CLSID%"

– [HKCU\Software\Microsoft\rdfa]
   • "F"=hex:30,00
   • "N"=hex:30,00

Hintertür Kontaktiert Server:
Den folgenden:
• http://regters.**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• explorer.exe

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andreas Feuerstein am Wed, 30 Jul 2008 09:28 (GMT+1)
Beschreibung geändert von Andreas Feuerstein am Wed, 30 Jul 2008 12:33 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück