TR/Spy.VB.QU - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Spy.VB.QU
Entdeckt am:	13/03/2007
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Nein
Dateigröße:	189.692 Bytes
IVDF Version:	6.38.00.48 - Tue, 13 Mar 2007 15:27 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: W32.SillyFDC
   • Mcafee: BackDoor-AKZ
   • Kaspersky: Trojan-Spy.Win32.VB.qu
   • TrendMicro: WORM_VB.CVY
   • F-Secure: Trojan:W32/Agent.AHC
   • Panda: Bck/Amitis.J
   • Eset: Win32/Spy.VB.QU trojan
   • Bitdefender: Trojan.Mailspam.J

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\31550.exe
   • %SYSDIR%\odbcasvc.exe

Archivierung:
Es werden Archivdateien erstellt und darin Dateien gespeichert.

Folgendes Verzeichnis wird durchsucht:
   • %home%\Application Data\Microsoft\Office\Recent\

Folgender Dateityp wird in betracht gezogen:
   • .doc

Der Dateiname des Archives is folgender:
   • %TEMPDIR%\%aktuelles Datum%_%aktuelle Zeit%.uha

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\uha.exe
   • %SYSDIR%\mswinsck.ocx

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\attachment%aktuelles Datum%_%aktuelle Zeit%.tmp
   • %TEMPDIR%\mail.tmp

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\odbcasvc.exe
   • "DisplayName"="ODBC Administration Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Microsoft Data Access - ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Security
   • Security"=%Hex Werte%

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Enum
   • "0"="Root\\LEGACY_ODBCASVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000
   • "Service"="odbcasvc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="odbcasvc"

Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Alter Wert:
   • "NoDriveTypeAutoRun"=dword:0000009d
   Neuer Wert:
   • "NoDriveTypeAutoRun"=dword:00000091

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
   • esmtp01@tom.com

An:
Der Empfänger der Email ist folgender:
   • esmtp01@tom.com

Betreff:
Folgende:
   • Spider%Nummer%[%Name des Computers%\%aktueller
      Benutzernamen%]

Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • %aktuelles Datum%_%aktuelle Zeit%.uha

Der Dateianhang ist eine Kopie der erstellten Datei: %TEMPDIR%\%aktuelles Datum%_%aktuelle Zeit%.uha

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Alexander Neth am Fri, 25 Jul 2008 08:28 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 01 Aug 2008 14:34 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück