||||
Symantec.com > Security Response > Trojan.Vundo.B
DIESE SEITE DRUCKEN

Trojan.Vundo.B

Risikostufe 1: Sehr gering

Entfernungsprogramm herunterladen | Druckansicht

Entdeckt am: 27 April 2005
Aktualisiert: 13 Februar 2007 12:39:23 PM
Typ: Trojanisches Pferd
Infektionslänge: 520.212 Byte
Betroffene Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Bei Ausführung führt Trojan.Vundo.B folgende Aktivitäten durch:

  1. Erstellt eine .dll-Datei mit einem Dateinamen, der aus den folgenden Zeichenfolgen gebildet wird:

    • abr
    • av
    • anti
    • ac
    • acc
    • ad
    • ap
    • as
    • bin
    • bas
    • bak
    • cab
    • cat
    • cmd
    • com
    • cr
    • c
    • drv
    • db
    • disk
    • dll
    • dns
    • dos
    • doc
    • dvd
    • eula
    • exp
    • fax
    • font
    • ftp
    • hard
    • iis
    • img
    • inet
    • info
    • ip
    • java
    • kb
    • key
    • lib
    • log
    • main
    • ms
    • mc
    • mfc
    • mp3
    • msvc
    • net
    • nut
    • odbc
    • ole
    • pc
    • ps
    • play
    • ras
    • reg
    • run
    • sys
    • srv
    • svr
    • svc
    • s
    • tapi
    • tcp
    • task
    • un
    • url
    • util
    • vb
    • vga
    • vss
    • xml
    • wave
    • web
    • w
    • win
    • wms

  2. Speichert und führt die .dll-Datei in einem der folgenden Ordner aus:

    • %Windir%\addins
    • %Windir%\AppPatch
    • %Windir%\assembly
    • %Windir%\Config
    • %Windir%\Cursors
    • %Windir%\Driver Cache
    • %Windir%\Drivers
    • %Windir%\Fonts
    • %Windir%\Help
    • %Windir%\inf
    • %Windir%\java
    • %Windir%\Microsoft.NET
    • %Windir%\msagent
    • %Windir%\Registration
    • %Windir%\repair
    • %Windir%\security
    • %Windir%\ServicePackFiles
    • %Windir%\Speech
    • %Windir%\system
    • %Windir%\system32
    • %Windir%\Tasks
    • %Windir%\Web
    • %Windir%\Windows Update Setup Files
    • %Windir%\Microsoft

      Hinweis: %Windir% ist eine Variable und bezieht sich auf den Windows-Installationsordner. In der Regel ist dies C:\Windows oder C:\Winnt.


  3. Erstellt die folgenden Registrierungseinträge:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[Trojan file name] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}
  4. Versucht, obalduyam.net zu kontaktieren.

  5. Erstellt die folgenden temporären Dateien:

    • [rückwärts geschriebener Trojaner-Dateiname].tmp
    • [rückwärts geschriebener Trojaner-Dateiname].ini

  6. Zeigt Werbung auf dem infizierten Computer an.

  7. Speichert die URL-Liste und kann versuchen, eine HTTP-Anfrage an die IP-Adresse 203.199.200.61 zu senden.


Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

  • Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
  • Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
  • Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
  • Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
  • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
  • Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
  • Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.

Dokument verfasst von: John Park
Bis zu 20 € sparen mit einem zweijährigen Abonnement.
©1995 - 2009 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen