TR/Vundo.NV - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Vundo.NV
Entdeckt am:	16/12/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
IVDF Version:	7.01.00.238 - Tue, 16 Dec 2008 09:03 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Grisoft: Vundo.CL

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.ini
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.ini2

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://85.17.166.232/**********/index.dll
Diese wird lokal gespeichert unter: %TEMPDIR%\%zufällige Buchstabenkombination%.dll Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Vundo.NU

– Die URL ist folgende:
   • http://89.188.16.46/**********/zc113432.dll
Diese wird lokal gespeichert unter: %TEMPDIR%\%zufällige Buchstabenkombination%.dll Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Vundo.NT

Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}]

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{2CA510D8-90CD-4120-AB99-F3B9A5E4F43D}\InprocServer32]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\\%Malware DLL%"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\%Hexadezimale Zahl%]
   • "Version"="%von der Malware genutzte Internet-Ressource%"

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• explorer.exe

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andreas Feuerstein am Tue, 16 Dec 2008 14:54 (GMT+1)
Beschreibung geändert von Andreas Feuerstein am Tue, 16 Dec 2008 15:30 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück