Analyse von: Anthony Joe Melgarejo   

 

Trojan-Dropper.Win32.TDSS.azpl (Kaspersky), W32/TDSS.AZPL!tr (Fortinet)

 Plattform:

Windows 2000, Windows XP, Windows Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Backdoor

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Ändert Sicherheitseinstellungen von Internet Explorer. Hierdurch ist der betroffene Computer stärker gefährdet, da er auf bösartige URLs zugreifen kann.

  Technische Details

Dateigröße: 179,712 bytes
Dateityp: DLL
Speicherresiden: Ja
Erste Muster erhalten am: 09 Januar 2011
Schadteil: Downloads files, Drops files, Creates mutexes, Modifies Master Boot Record (MBR)

Installation

Injiziert Threads in die folgenden normalen Prozesse:

  • svchost.exe -k netsvcs

Injiziert Code in die folgenden Prozesse:

  • explorer.exe
  • iexplore.exe

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
Legacy = dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
ConfigFlags = dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
Class = "LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
DeviceDesc = "{random hex value}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000
Service = "{random hex value}"

Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random hex value}\
0000

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} = "2002"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{e2e2dd38-d088-4134-82b7-f2ba38496583} = "2003"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{FB5F1910-F110-11d2-BB9E-00C04F795683} = "2004"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
NextId = "2005"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\International
AcceptLanguage = "en-US"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Security\
P3Global
Enabled = "1"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Display Inline Images = "yes"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Enable Browser Extensions = "no"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Play_Background_Sounds = "no"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Play_Animations = "no"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Enable AutoImageResize = "no"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
EnableAlternativeCodec = "no"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
UseSWRender = "1"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
PlaySounds = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Error Dlg Displayed On Every Error = "no"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
DisableScriptDebuggerIE = "no"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Friendly http errors = "no"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_BLOCK_INPUT_PROMPTS
iexplore.exe = "1"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_BROWSER_EMULATION
iexplore.exe = "1770"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_GPU_RENDERING
iexplore.exe = "1"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_MAXCONNECTIONSPER1_0SERVER
iexplore.exe = "10"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_MAXCONNECTIONSPERSERVER
iexplore.exe = "10"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
FeatureControl\FEATURE_WARN_ON_SEC_CERT_REV_FAILED
iexplore.exe = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
GlobalUserOffline = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
CertificateRevocation = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
WarnOnBadCertRecving = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
WarnOnPost = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
WarnOnPostRedirect = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
WarnOnZoneCrossing = "0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
ServerInfoTimeout = "927c0"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
KeepAliveTimeout = "124f80"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
ReceiveTimeout = "124f80"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
EnableHttp1_1 = "1"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
MaxHttpRedirects = "32"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
ConnectRetries = "14"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
MaxConnectionsPerServer = "10"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
MaxConnectionsPer1_0Server = "10"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} = "2000"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Extensions\
CmdMapping
{92780B25-18CC-41C8-B9BE-3C9C571A8263} = "2001"

Ändert die folgenden Registrierungseinträge:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main
Disable Script Debugger = "no"

(Note: The default value data of the said registry entry is yes.)

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Download-Routine

Öffnet die folgenden Websites, um Dateien herunterzuladen:

  • http://{BLOCKED}nload.{BLOCKED}e.com/bin/install_flashplayer11x32_chrd_aih.exe - legitimate file (Adobe Flash Player installer)

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %AppDataLocal%\install_flashplayer.exe - legitimate file (Adobe Flash Player installer)

Datendiebstahl

Folgende Daten werden gesammelt:

  • OS version
  • Build
  • Service Pack version
  • Processor Architecture

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

  • {BLOCKED}.{BLOCKED}.57.42:555/{random values}/start/{OS Version}_{Build}_{Service Pack Version}_{Processor Architecture}/9099
  • {BLOCKED}.{BLOCKED}.57.42:555/{random values}/install/{OS Version}_{Build}_{Service Pack Version}_{Processor Architecture}/9099

  Lösungen

Mindestversion der Scan Engine: 9.700

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von BKDR_TDSS.JES

    • TROJ_TDSS.BSS
    • TROJ64_TDSS.BSS
    • RTKT_TDSS.BTE
    • RTKT64_TDSS.BTE
    • BKDR64_TDSS.JES
    • TROJ64_TDSS.JES

Step 4

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
    • LEGACY_{random hex value}

Step 5

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
    • {898EA8C8-E7FF-479B-8935-AEC46303B9E5} = "2000"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
    • {92780B25-18CC-41C8-B9BE-3C9C571A8263} = "2001"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
    • {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} = "2002"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
    • {e2e2dd38-d088-4134-82b7-f2ba38496583} = "2003"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
    • {FB5F1910-F110-11d2-BB9E-00C04F795683} = "2004"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping
    • NextId = "2005"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\International
    • AcceptLanguage = "en-US"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Security\P3Global
    • Enabled = "1"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • Display Inline Images = "yes"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • Enable Browser Extensions = "no"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • Play_Background_Sounds = "no"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • Play_Animations = "no"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • Enable AutoImageResize = "no"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • EnableAlternativeCodec = "no"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • UseSWRender = "1"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • PlaySounds = "0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • Error Dlg Displayed On Every Error = "no"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • DisableScriptDebuggerIE = "no"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • Friendly http errors = "no"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_INPUT_PROMPTS
    • iexplore.exe = "1"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
    • iexplore.exe = "1770"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_GPU_RENDERING
    • iexplore.exe = "1"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_MAXCONNECTIONSPER1_0SERVER
    • iexplore.exe = "10"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_MAXCONNECTIONSPERSERVER
    • iexplore.exe = "10"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WARN_ON_SEC_CERT_REV_FAILED
    • iexplore.exe = "0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • GlobalUserOffline = "0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • CertificateRevocation = "0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • WarnOnBadCertRecving = "0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • WarnOnPost = "0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • WarnOnPostRedirect = "0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • WarnOnZoneCrossing = "0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • ServerInfoTimeout = "927c0"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • KeepAliveTimeout = "124f80"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • ReceiveTimeout = "124f80"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • EnableHttp1_1 = "1"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • MaxHttpRedirects = "32"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • ConnectRetries = "14"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • MaxConnectionsPerServer = "10"
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    • MaxConnectionsPer1_0Server = "10"

Step 6

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
    • From: Disable Script Debugger = "no"
      To: Disable Script Debugger = yes

Step 7

Sicherheitseinstellungen für das Internet wiederherstellen

[ learnMore ]

Step 8

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als BKDR_TDSS.JES entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil