Analyse von: Michael Cabel   

 Plattform:

Windows 2000, Windows XP, Windows Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Backdoor

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Nein

  • In the wild::
    Ja

  Überblick


  Technische Details

Dateigröße: 10,563,072 bytes
Dateityp: DLL
Speicherresiden: Ja
Erste Muster erhalten am: 13 Juli 2011

Installation

Fügt die folgenden Ordner hinzu:

  • %Program Files%\Wbod

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers1}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers2}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers3}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers4}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SOFTWARE\{Random Numbers5}\
Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Gieiab Prtvqoqt Bgj\Parameters
ServiceDll = "%Program Files%\Wbod\Xkrlgrlng.pic"

Andere Systemänderungen

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
imgsvc = "StiSvc Gieiab Prtvqoqt Bgj"

(Note: The default value data of the said registry entry is StiSvc.)

Einschleusungsroutine

Schleust die folgenden Dateien ein:

  • %Program Files%\Wbod\Xkrlgrlng.pic - also detected as BKDR_INJECT.TP

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)