TR/PSW.Papras.JN - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/PSW.Papras.JN
Entdeckt am:	27/03/2009
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	66.048 Bytes
MD5 Prüfsumme:	8c00c01185fd4cb20d8a91b307e7e39f
IVDF Version:	7.01.02.228 - Fri, 27 Mar 2009 15:53 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Infostealer.Snifula.C
   • Kaspersky: Trojan-PSW.Win32.Papras.jn
   • F-Secure: Trojan-PSW.Win32.Papras.jn
   • Sophos: Troj/Zbot-BS
   • Eset: Win32/PSW.Papras trojan
   • Bitdefender: Trojan.Inject.UD

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\9129837.exe

Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %WINDIR%\new_drv.sys
Wir verwendet um den Prozess vor dem Task Manager zu verstecken. Erkannt als: TR/Rootkit.Gen

– Dateiname:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\abcdefg.bat
Diese Batchdatei wird genutzt um eine Datei zu löschen.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\\9129837.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=dword:%Hex Werte%
   • "k2"=dword:%Hex Werte%
   • "version"="5"

Hintertür Der folgende Port wird geöffnet:
an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://91.207.61.**********/cgi-bin/cmd.cgi?user_id=%Nummer%&version_id=5&passphrase=%zufällige Buchstabenkombination%&socks=%geöffneter Port%&version=&crc=00000000

Hierdurch werden Hintertürfunktionen bereitgestellt.

Sende Informationen über:
    • Hardware
    • Geöffneter Port

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Andreas Feuerstein am Wed, 08 Apr 2009 12:36 (GMT+1)
Beschreibung geändert von Andreas Feuerstein am Wed, 08 Apr 2009 13:28 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück