TROJ_HILOTI
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.
Technische Details
Installation
Schleust die folgenden Dateien ein:
- %Windows%\{random name}.dll
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome.manifest - non-malicious file
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content\_cfg.js - non-malicious file
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content\overlay.xul - detected as JS_GORD.F
- %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\install.rdf - non-malicious file
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %Application Data%\{Random CLSID for Firefox}
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Injiziert sich selbst in die folgenden Prozesse, um speicherresident ausgeführt zu werden:
- explorer.exe
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "rundll32.exe "{malware path and file name}",Startup"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\{random characters}
Download-Routine
Öffnet die folgenden Websites, um Dateien herunterzuladen:
- {BLOCKED}db103a.{BLOCKED}ro.net
- {BLOCKED}7db1000.{BLOCKED}ero.net
- {BLOCKED}db1000.{BLOCKED}zy.net
- {date-time}.{BLOCKED}zy.net/get2.php
- http://{BLOCKED}db0904.meetri.net/get2.php
- http://{BLOCKED}b0905.gabcat.net/get2.php
Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.