BKDR_CFISH.A

Wird möglicherweise von anderer Malware von Remote-Sites heruntergeladen:

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Übertragungsdetails

Wird möglicherweise von der folgender Malware von Remote-Sites heruntergeladen:

• TROJ_CFISH.A

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Application Data%\{Random hex values}\chrome.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust folgende Komponentendateien ein:

• %Application Data%\{Random hex values}\{Random values} ← contains the CnC server
• %Application Data%\{Random hex values}\{Random values} ← contains the modules to download(Keylogger|PasswordStealer|ReverseVNC)

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Application Data%\{Random Hex Values}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
chrome = %Application Data%\{Random hex values}\chrome.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
chrome = %Application Data%\{Random hex values}\chrome.exe

Schleust die folgenden Dateien ein:

• %User Startup%\chrome.lnk ← Target path = %Application Data%\{Random hex values}\chrome.exe
• %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Startup\chrome.lnk ← For Win7
• %All Users Profile%\Start Menu\Programs\Startup\chrome.lnk ← For WinXP

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Add, remove, or execute modules
• Download and execute files
• Change CnC server
• Execute commands in command line
• Display a message box
• Shutdown the machine
• Update itself
• Uninstall itself

Download-Routine

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

Andere Details

Für ihre ordnungsgemäße Ausführung sind die folgenden Dateien erforderlich:

• %User Temp%\GID.dat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)