TR/Fakealert.QE - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Fakealert.QE
Entdeckt am:	16/10/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
IVDF Version:	7.00.07.46 - Thu, 16 Oct 2008 09:05 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: AntiVirus2009
   • Kaspersky: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   • F-Secure: not-a-virus:FraudTool.Win32.XPSecurityCenter.az
   • Panda: Adware/XPAntiSpyware2009
   • Grisoft: Downloader.Small.ELY

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Lädt schädliche Dateien herunter

Nach Aktivierung wird folgende Information angezeigt:

Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %PROGRAM FILES%\XP_AntiSpyware\Uninstall.exe; %PROGRAM
      FILES%\XP_AntiSpyware\htmlayout.dll; %PROGRAM
      FILES%\XP_AntiSpyware\pthreadVC2.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll; %PROGRAM
      FILES%\XP_AntiSpyware\data\daily.cvd; %home%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk;
      %home%\Desktop\XP_AntiSpyware.lnk; %home%\Start
      Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk; %home%\Start
      Menu\Programs\XP_AntiSpyware\Uninstall.lnk

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\prm2
   • %TEMPDIR%\prm3

– %PROGRAM FILES%\XP_AntiSpyware\AVEngn.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Fakealert.QF

– %TEMPDIR%\Binaries1.cab2
– %TEMPDIR%\Binaries2.cab3
– %TEMPDIR%\Binaries3.cab4

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.xpas2009.com/**********/Binaries1.cab
Diese wird lokal gespeichert unter: %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\Binaries1[1].cab

– Die URL ist folgende:
   • http://www.xpas2009.com/**********/Binaries2.cab
Diese wird lokal gespeichert unter: %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\Binaries2[1].cab

– Die URL ist folgende:
   • http://www.xpas2009.com/**********/Binaries3.cab
Diese wird lokal gespeichert unter: %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\Binaries3[1].cab

Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %PROGRAM FILES%\XP_AntiSpyware\XP_AntiSpyware.exe
Des weiteren enthält sie schadhaften Code. Erkannt als: TR/Drop.Delf.Crypt.G.24

– Dateiname:
   • %PROGRAM FILES%\XP_AntiSpyware\wscui.cpl
Des weiteren enthält sie schadhaften Code. Erkannt als: TR/Fakealert.QE

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andreas Feuerstein am Tue, 21 Oct 2008 10:22 (GMT+1)
Beschreibung geändert von Andreas Feuerstein am Tue, 21 Oct 2008 15:09 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück