RSS Kanäle | Diskussionen | Umfragen | Site Map




Alle Bedrohungen

Viren

Hacker

Spam
Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog


Das Malware Medium
Malware-Typen
Wer kreiert Malware?
Die Geschichte der Schadprogramme
Malware Trends
Wenn Ihr Computer infiziert ist

 
Suche nach Malware Beschreibungen

 

  Home / Viren / Virus Enzyklopädie / Malware-Typen / Trojaner-Programme / General Trojans

Trojan.Win32.Delf.abx

Datum: Wann entdeckt? 17 Mai 2007 17:01 GMT
Update released 17 Mai 2007 18:13 GMT
Datum der Veröffentlichung 30 Apr 2008
Behavior Trojan

Technical Details

Trojaner, der eine destruktive Tätigkeit auf dem Anwender-PC ausübt.

Es ist eine Windows-Anwendung (PE EXE-Datei) mit einer Größe von 945664 Byte, nicht gepackt, in Delphi geschrieben.

Installation

Beim Start kopiert sich der Trojaner in die folgenden Ordner:

%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe
%Documents and Settings%\%user%\Start Menu\Programs\Startup\avp.exe
%System% \RavMon.exe

Der Trojaner erstellt im Systemregister den folgenden Schlüssel, in dem die Installations-Daten angegeben sind:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rm]

Außerdem erstellt er folgende Register-Schlüssel-Einträge:

[HKCR\Software\Microsoft\Internet Account]
"Expire Days" = "dword:8"
[HKCR\Control Panel\Desktop]
"AutoEndTasks" = "1"

Um sicherzustellen, dass der Trojaner bei jedem Neustart ausgeführt wird, registriert der Trojaner seine ausführbare Datei mit folgenden Schlüsseln:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"RavAV" = "%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe"
"RavMon" = "%System% \RavMon.exe"
Payload

Das vorliegende Trojaner-Programm ist ein Tastaturspion mit der Fähigkeit der Remote-Steuerung und mit Wurmfunktionen.

Das Schadprogramm verbreitet sich über Wechseldatenträger.

Es kopiert sich auf den Wechseldatenträger unter dem Namen "RavMonE.exe" und erstellt eine Datei für den Autostart "autorun.inf", welcher die Ausführungsdatei des Trojaners jedes Mal startet, wenn der Anwender den infizierten Bereich mithilfe des Explorer öffnet.

Der Trojaner beendet die folgenden Prozesse, wenn es sie auf dem System gibt:

iexp1ore.exe
IEXPL0RE.EXE
RUNDL132.EXE
Logo1_.exe
rundl132.exe
SLcc.exe
wuauclt1.exe
iexpl0re.exe
cmmon32.exe
Servera.exe
Servere.exe

Dabei handelt es sich um Prozesse anderer schädlicher Programme.

Der Trojaner installiert einen Tastatur-Hook mittels einer Bibliothek, die vom Trojaner im temporären Verzeichnis des jeweiligen Windows-Anwenders erstellt wurde:

%Temp%\h.tmp

Der Trojaner protokolliert die Tastatur-Eingaben des Anwenders mit und speichert diese in folgender Datei:

%Temp%\keys.log

Die gesammelten Daten versendet der Trojaner an die E-Mail-Adresse des Angreifers:

ais@darch***.ru
ais@mail***.ru
apiit@***tmb.ru
artemov@***tmb.ru
biblme@***tmb.ru
bjd@***tmb.ru
bmt@***.ru
brodovich@sir***.ru
brusentsov@mail***.ru
chemistry@***.ru
coord@coord***.ru
crems@crems.jesby***.ru
cybertech@jesby***.ru
decan_hist@***tmb.ru
dmitr2002@***tmb.ru
dmsh@dmsh***.ru
docc@asp***.ru
eco@nnn***.ru
egorov@mail***.ru
elters@crimeinfo.jesby***.ru
ernest@***tmb.ru
feodorov@***tmb.ru
fmf@***tmb.ru
fmo@decin***.ru
frolov@nnn***.ru
frolow@mail.ahp***.ru
galygin@nis***.ru
gaps@gaps-gw***.ru
gena@des***.ru
golovin@***tmb.ru
gromov@is***.ru
helen@***tmb.ru
hist@nnn***.ru
intep@ng***.ru
ipu@ahp***.ru
ivolgin@***tmb.ru
kafedra@asp***.ru
kafedra@mail.gaps***.ru
kalinin@nauka***.ru
kalinin@nauka2***.ru
kchic@kch***.ru
ket@ket***.ru
kmm@***tmb.ru
korenkov@***tmb.ru
kulikov@apmath***.ru
kurs_podg@***tmb.ru
kvidep@cen***.ru
kvipri@ce***.ru
kyv@ahp***.ru
kzis@kzis***.ru
law@gis***.ru
ibr@libr***.ru
litovka@mail.sapr***.ru
lopatin@***tmb.ru
lvi@gidra***.ru
malaschonok@math-iu***.ru
mmf@mmf***.ru
msh@msh3***.ru
nat@evro***.ru
ns@***tmb.ru
olga@nnn***.ru
olimp@olimp***.ru
oord@coord***.ru
phys@mail***.ru
phys@phys***.ru
polymers@asp***.ru
polymers@babylon.jesby***.ru
portal@tstu.ru
post@mcms***.ru
post@ums***.ru
ppc@ppc***.ru
pr@nnn***.ru
PR@PR***.ru
pvp@phys***.ru
quality@asp***.ru
rector@***tmb.ru
resbn@jesby***.ru
root@msh***.ru
root@msh3***.ru
root@phys***.ru
sekr@nnn***.ru
sekr1@mail***.ru
Shibkov@***tmb.ru
slava@ahp-gw***.ru
soprm@mail***.ru
sport@sportkaf***.ru
sss@nnn***.ru
studklub@show***.ru
szhulikov@***tmb.ru
tmm-dm@tmm-dm***.ru
tmmsii@tmmsii.jesby***.ru
tolmat@teorm***.ru
topt@topt***.ru
tso@almamater-tv***.ru
tso@mail***.ru
tva@ul***.ru
tyurin@***tmb.ru
u0077@pisetski***.ru
uaa@hmd***.ru
uhachov@***tmb.ru
umo@nnn***.ru
umo@umo***.ru
uov@pk***.ru
vat@dzs***.ru
vera@vera***.ru
vk@mail***.ru
vk@midl***.ru
zheltov@***tmb.ru

Außerdem protokolliert der Trojaner seine Tätigkeit in folgender Datei:

%Documents and Settings%\Local Settings\Temp\curse--.tmp

<date> - Datum im Format tt-mm-jjjj

Der Trojaner beendet folgende Prozesse der Firewall und laufender Antiviren-Programme:

outpost.exe
avp.exe
FileMon.exe
avgupsvc.exe
avgamsvr.exe
avgemc.exe
avgcc.exe
avgwb.dat
AVGUARD.EXE
AVGNT.EXE
AVWIN.EXE
bdmcon.exe
bdagent.exe
bdss.exe
vsserv.exe
bdlite.exe
xcommsvr.exe
kfsnserv.exe
kfsensmonitor.exe
KillProcess.exe
lpfw.exe
McTskshd.exe
Mcdetect.exe
MpfTray.exe
MpfAgent.exe
MpfService.exe
mcagent.exe
mghtml.exe
mcdash.exe
UnaSvc.exe
Unamon.exe
AlogServ.exe
Avsynmgr.exe
VSStat.exe
VSHWIN32.EXE
Mcshield.exe
Avconsol.exe
VsMain.exe
sdhelp.exe
swdoctor.exe
Pavfires.exe
Pavsrv51.exe
Avengine.exe
Pavproxy.exe
Iface.exe
PAVJOBS.EXE
APVXDWIN.EXE
snsmcon.exe
safensec.exe
wlinject.exe
AAKSRV.EXE
FireWall.exe
cmdagent.exe
cpf.exe
jpfsrv.exe
jpf.exe
KAVPF.exe
kpf4gui.exe
lpfw.exe
ScanningProcess.exe
zlclient.exe
Monitor.exe
mantispm.exe
FileMonNT.exe
OllyDbg.EXE
Regmon.exe
RegMonNT.exe
spyxx.exe
Removal instructions

Wenn Ihr PC nicht durch ein Antiviren-Programm geschützt wurde und durch dieses Schadprogramm infiziert wurde, empfehlen wir die folgenden Schritte:

  1. Nutzen Sie den ( „Task-Manager“), um den Prozess "RavMonE.exe" zu beenden.
  2. Löschen Sie die Original-Datei des Trojaners (seine Position auf dem Computer ist von der Methode abhängig, mit welcher er auf den PC gelangte).
  3. Löschen Sie die folgenden Dateien:
    %Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe
    %Documents and Settings%\%user%\Start Menu\Programs\Startup\avp.exe
    %System% \RavMon.exe
    %Documents and Settings%\Local Settings\Temp\curse--.tmp
    %Temp%\h.tmp
    %Temp%\keys.log
  4. Löschen Sie folgende Daten des System-Registers:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rm]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "RavAV" = "%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe"
    "RavMon" = "%System% \RavMon.exe"
    [HKCR\Software\Microsoft\Internet Account]
    "Expire Days" = "dword:8"
    [HKCR\Control Panel\Desktop]
    "AutoEndTasks" = "1"
  5. Führen Sie die vollständige Überprüfung des Computers mit Kaspersky Antivirus mit den aktualisierten Antivirus-Datenbanken durch (Testversion herunterladen).
 

Copyright © 1996 - 2009
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com