TR/Vundo.MD - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Vundo.MD
Entdeckt am:	13/11/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	~ 26.000 Bytes
IVDF Version:	7.01.00.83 - Thu, 13 Nov 2008 17:37 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan.Win32.Agent.anyk
   • TrendMicro: TROJ_VUNDO.SC
   • F-Secure: Trojan:W32/Vundo.BL
   • Bitdefender: Trojan.Vundo.FYD

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCR\CLSID\{73259091-9574-4ED8-A40F-7F65AFC28634}\InprocServer32]
   • @="%SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll"
   • "ThreadingModel"="Both"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %achtstellige zufällige Buchstabenkombination%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%achtstellige zufällige Buchstabenkombination%.dll"
   • "Impersonate"=dword:00000000
   • "Logon"="o"
   • "Logoff"="f"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Thomas Wegele am Mon, 24 Nov 2008 13:24 (GMT+1)
Beschreibung geändert von Thomas Wegele am Mon, 24 Nov 2008 13:31 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück