TR/PSW.Magania.azha - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/PSW.Magania.azha
Entdeckt am:	21/04/2009
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	108.855 Bytes
MD5 Prüfsumme:	98221cfe63bb832de9ce9a3ad44384ff
IVDF Version:	7.01.03.80 - Tue, 21 Apr 2009 09:10 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Packed.NsAnti
   • Kaspersky: Trojan-GameThief.Win32.Magania.azha
   • F-Secure: Trojan-GameThief.Win32.Magania.azha
   • Panda: W32/Lineage.KSZ
   • Eset: Win32/PSW.OnLineGames.NMY
   • Bitdefender: Trojan.PWS.OnlineGames.KBXH

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine Datei
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\olhrwef.exe
   • C:\ej10fkdo.bat

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– C:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %SYSDIR%\drivers\klif.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: RKit/OnlineGames.CG.1

– %SYSDIR%\nmdfgds0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Wow.ife

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Services\KAVsys]
   • Type=dword:00000001
   • ErrorControl=dword:00000001
   • Start=dword:00000001
   • ImagePath="\??\%SYSDIR%\drivers\klif.sys"

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• explorer.exe

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andreas Feuerstein am Wed, 06 May 2009 15:28 (GMT+1)
Beschreibung geändert von Andreas Feuerstein am Wed, 06 May 2009 16:02 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück