DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Trojan-Spy.Win32.WMPatch

Erkennungsdatum 12/31/2004
Kategorie Trojan-Spy
Plattform Win32
Beschreibung

Technische Details

Trojan.WebMoney.Wmpatch ist ein Trojanerprogramm, das aus zwei ausführbaren Win32 PE-Dateien besteht: DBOLE.EXE und SICKBOY.EXE. Diese Dateien werden vom Trojaner TrojanDownloader.Win32.Small.n heruntergeladen. Ein Massenversand dieses Trojanerprogramms wurde am 5. März 2003 entdeckt. Der Nachrichtentext erscheint wie folgt:

Von: Grußkarten [gruß_karten@yahoo.com]
Gesendet: 5 März 2003 8:20 (der aktuelle Text in dieser Zeile ist in Russisch)
An: Ivan Petrow
Betreff: Sie haben eine Karte erhalten! (Der aktuelle Text in dieser Zeile ist auf Russisch)

(Hier ist der russische Text analog zum englischen Text gleich unten.) 

Hallo! 

Du hast eine Postkarte! 
Um diese Postkarte anzusehen, klicken Sie auf den Link: http://www.yahoo-greeting-cards.com/**************/viewcard_680fe23d52.asp.scr 

Sie können es jederzeit innerhalb der nächsten 60 Tage sehen. 

____________________________________________________ 
Lieblingspostkarten auf http://www.yahoo-greeting-cards.com 
 

Datei – DBOLE.EXE
Diese Datei wird mit dem PE-Pack-Dienstprogramm komprimiert. Es ist komprimiert Größe ist 32.768 Bytes und ist in der Programmiersprache C geschrieben. Sobald der Trojaner gestartet ist, prüft er das Vorhandensein des WebMoney-Programms. Dazu sucht es im Ordner Programme nach der Datei WMClient.dll und fügt darin neuen Code ein. Der neue Code erstellt zwei Dateien:

c: wmkey.bin
c: wmmem.bin

Das Programm erstellt eine Berichtsdatei unter dem Namen:

c: wmlog.bin

Als nächstes installiert sich der Trojaner selbst in den Windows-Registrierungsschlüssel.

Die folgenden Zeichenfolgen sind in der Datei enthalten:

kernel32.dll rockt den Block c: wmkey.bin c: wmmem.bin 
CreateFileA WriteFile CloseHandle lstrlen CopyFileA 
DatabaseOLE false SoftwareMicrosoftWindowsCurrentVersionRun 
Befehlszeile: '% s' - Speicherzuordnung fehlgeschlagen + Herunterfahren
- Ungültige Dateiversion - Fehler beim Schreiben der Datei + Geschriebene Datei + Bereiten Sie den Patch vor  
+ Einstiegspunkt bei% d (% x) + Patch bei% d (% x) + Lesen ok,% d Bytes lesen - Fehler beim Lesen der Datei
+ Speicherzuordnung ok Dateigröße:% d Bytes + Datei öffnen ok - WM nicht installiert 
- Fehler beim Öffnen der Datei Patchen:% s 
+ Pfad abfragen% s + Starten von WMClient.dll SoftwareWebmoneyPath% s
c: wmlog.bin

Datei – SICKBOY.EXE
Diese Datei wird mit dem PE-Pack-Dienstprogramm komprimiert. Die komprimierte Größe beträgt 28.672 Byte und wird in der Programmiersprache C geschrieben. Nach dem Start bleibt diese Datei im Speicher eines Opfer-Computers und sendet die folgenden Dateien per E-Mail:

 "c: wmlog.bin", "c: wmmem.bin", "c: wmkey.bin" 

Sie werden an die Adresse gesendet:

sickboy@centrum.cz

So kann dieses Programm sich mit dem SMTP-Server verbinden und E-Mail-Text bilden, der Binärdateien in Textformat umwandelt.

Die Datei enthält die folgenden Zeichenfolgen:

xfm1.txt RegisterServiceProcess kernel32.dll 
c: wmkey.bin c: wmmem.bin c: wmlog.bin WebMoney-Keeper QUIT
Fächer
DATEN
RCPT zu: 
MAIL VON: 
HELO-localhost
62.84.131.172 Datei SOFTWAREWebmoneyOptions nicht gefunden Dateiname Klartext:% s
% .2x Dateiname bin:% s


Link zum Original