VBS_AGENT.GQG

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Löscht Dateien, so dass Programme und Anwendungen nicht ordnungsgemäß ausgeführt werden. Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Stiehlt bestimmte Daten vom System und/oder dem Benutzer.

Übertragungsdetails

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Installation

Erstellt die folgenden Ordner:

• %Application Data%\Dropebox{username}{number}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Löscht die folgenden Dateien:

• %User StartUp%\AdobeUpdateManagementTool.lnk
• %User Temp%\swf.ico"

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Löscht die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
AdobeUpdateManagementTool = ""

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
c_last = ""

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• info - Get System Information
• proc - Get running processes
• scrin - Take screenshot
• exe - Download and execute binary
• vbs - Download and execute VB Script
• ps1 - Download and execute powershell command
• dll - Not used
• delete - Uninstall self
• scrrunr - Not used

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %Application Data%\Dropebox{username}{number}\screenshot__.ps1 - take screenshot
• %Application Data%\Dropebox{username}{number}\screenshot__.png - screenshot
• %Application Data%\Dropebox{username}{number}\exe__.exe - downloaded binary
• %Application Data%\Dropebox{username}{number}\vb__.vbs - downloaded VB script
• %Application Data%\Dropebox{username}{number}\ps1__.ps1 - downloaded powershell

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Datendiebstahl

Stiehlt folgende Daten:

• OS Information:
  • OS Name
  • Version
  • Service Pack
  • OS Manufacturer
  • Windows Directory
  • Locale
  • Available Physical Memory
  • Total Virtual Memory
  • Available Virtual Memory
• System Information:
  • System Name
  • System Manufacturer
  • System Model
  • Time Zone
  • Total Physical Memory
  • Processor System Type
  • Processor
  • BIOS Version
• Networking information:
  • Computer name
  • Domain
  • User name
  • IP Address
  • Mac Address
• Screenshot
• List of Processes