TR/ZZDimy.13 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/ZZDimy.13
Entdeckt am:	15/05/2009
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	13.824 Bytes
MD5 Prüfsumme:	feb9fcb58b7537c47a0Cfc1c00702b50
IVDF Version:	7.01.03.215 - Fri, 15 May 2009 15:22 (GMT+1)

General Aliases:
   • Symantec: Backdoor.Paproxy
   • Mcafee: Generic Proxy!a trojan !!!
   • Kaspersky: Trojan.Win32.Agent2.jyy
   • Panda: W32/Koobface.AD.worm
   • Eset: a variant of Win32/Tinxy.AD trojan

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\SYS32DLL.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Folgende Datei wird gelöscht:
   • C:\SYS32DLL.bat

Es wird folgende Datei erstellt:

– C:\SYS32DLL.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://85.13**********/v50/?v=63&s=I&uid=0&p=6004&q=
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "7171:TCP"="7171:TCP:*:Enabled:SYS32DLL"
   • "80:TCP"="80:TCP:*:Enabled:SYS32DLL"

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "ProxyServer"="http=localhost:7171"
   • "ProxyOverride"="*.local;"
   • "ProxyEnable"=dword:00000001

Hintertür Der folgende Port wird geöffnet:

– %SYSDIR%\SYS32DLL.exe am TCP Port 7171 um einen HTTP Server zur Verfügung zu stellen.

Kontaktiert Server:
Einer der folgenden:
• yy-d**********.com
• zz-d**********.com

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Petre Galan am Tue, 06 Oct 2009 15:58 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Wed, 07 Oct 2009 13:10 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück