Symptome :

zusätzlich birgt Alanchum.NX Rootkit Funktionalitäten welches es ihm erlauben unerkannt Systemprozesse mit zu protokollieren. Alanchum.NX ist dem bereits bekannten Trojaner Gagar.CG sehr ähnlich.

Alanchum.NX ist schwer zu identifizieren, da er keinerlei Warnhinweise auf dem infizierten System hervorruft.

Technische Beschreibung:

Art der Infektion:
Alanchum.NX generiert folgende Dateien im Windows-Systemordner:

GAME0.EXE.EXE - dieses ist eine Kopie des Trojaners.
TASKDIR.EXE - ist eine Kopie von "GAME0.EXE" welcher das Rootkit in sich versteckt.
ADIR.DLL - diese Datei gehört zu den Rootkit von Alanchum.JF.
GAME4.EXE - diese Datei ist dafür verantwortlich, dass der Trojaner sich updaten kann.
CLCBT.EXE - ist eine Kopie von "GAME4.EXE" welcher ebenso Teile des Rootkits in sich versteckt.
GAME1.EXE - diese Datei dient als Mailserver.
GAME2.EXE - und diese Datei ist dafür verantwortlich E-Mail-Adressen zusammen und an die Webseite zu senden.
GAME5.EXE.EXE - birgt einen Treiber.
SVCP.CSV - birgt Daten für die spezielle Konfiguration dieses Trojaners.
PEERS.INI - WINCOM32.SYS und ZLBW.DLL.

Alanchum.NX generiert folgende Einträge in der Windows Registry:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
taskdir = SYSTEMORDNER\taskdir.exe

Bei diesen Registry Einträgen versucht Alanchum.NX sicherzustellen, dass er immer dann mitgeladen wird, wenn auch Windows als Betriebssystem geladen wird:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
clcbt.exe = SYSTEMORDNER\clcbt.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
sysinter = SYSTEMORDNER\adirss.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
CTFMON.EXE = SYSTEMORDNER\ctfmon.exe
KEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_WINCOM32
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ wincom32

[ Zurück zum Anfang ]