TR/Dldr.Agent.gcx - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Agent.gcx
Entdeckt am:	24/10/2008
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Hoch
Schadenspotenzial:	Hoch
Statische Datei:	Nein
Dateigröße:	~ 360.000 Bytes
IVDF Version:	7.00.07.81 - Fri, 24 Oct 2008 09:48 (GMT+1)

General Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Mcafee: Spy-Agent.da trojan
   • Kaspersky: Trojan-Downloader.Win32.Agent.alce
   • F-Secure: Trojan-Downloader.Win32.Agent.alce
   • Sophos: Troj/Gimmiv-A
   • Bitdefender: Win32.Worm.Gimmiv.A

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es werden folgende Dateien erstellt:

– %SYSDIR%\wbem\sysmgr.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Agent.gcx

– %TEMPDIR%\%achtstellige zufällige Buchstabenkombination%.bat Diese Batchdatei wird genutzt um eine Datei zu löschen.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%Malware DLL%
   • "ServiceMain"="ServiceMainFunc"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%Hex Werte%

Hintertür Kontaktiert Server:
Einer der folgenden:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

Hierdurch können Informationen gesendet werden. Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • Hizufügen/Entfernen Programmliste
    • Computername
    • Informationen über das Netzwerk
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Benutzername
    • Information über das Windows Betriebsystem

Diebstahl Es wird versucht folgende Information zu klauen:

– Passwörter folgender Programme:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Thomas Wegele am Fri, 24 Oct 2008 07:24 (GMT+1)
Beschreibung geändert von Alexander Vukcevic am Fri, 24 Oct 2008 09:13 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück