Name:TR/Krotten.W.1
Entdeckt am:02/02/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:54.565 Bytes
MD5 Prüfsumme:fb5c2265f8aec5ef7282ffd1e26bb1b3
VDF Version:6.33.00.187
Engine Version:54.565

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Krotten.ao


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\Cursors\avp.exe
   • svchost = %WINDIR%\Web\rundll32.exe



Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKCR\regfile\shell\open\command]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NoViewOnDrive = dword:00000001
   • NoActiveDesktop = dword:00000001
   • NoDesktop = dword:00000001
   • NoSMMyDocs = dword:00000001
   • NoStartMenuMyMusic = dword:00000001
   • NoSMMyPictures = dword:00000001
   • NoCommonGroups = dword:00000001
   • NoStartMenuSubFolders = dword:00000001
   • NoStartMenuMFUprogramsList = dword:00000001
   • NoStartMenuPinnedList = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Neuer Wert:
   • NoViewContextMenu = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • Start_ShowRun = dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • Start_ShowRun = dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • NoViewOnDrive = dword:00000001
   • NoActiveDesktop = dword:00000001
   • NoDesktop = dword:00000001
   • NoSMMyDocs = dword:00000001
   • NoStartMenuMyMusic = dword:00000001
   • NoSMMyPictures = dword:00000001
   • NoCommonGroups = dword:00000001
   • NoStartMenuSubFolders = dword:00000001
   • NoStartMenuMFUprogramsList = dword:00000001
   • NoStartMenuPinnedList = dword:00000001

– [HKCU\Control Panel\Desktop]
   Neuer Wert:
   • MenuShowDelay = 9999
   • WallpaperOriginY = 187
   • WallpaperOriginX = 210

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • DisableRegistryTools = dword:00000001
   • NoDispCPL = dword:00000001
   • DisableTaskMgr = dword:00000001

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • DisableRegistryTools = dword:00000001
   • NoDispCPL = dword:00000001
   • DisableTaskMgr = dword:00000001

Startseite des Internet Explorers:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • Start Page = %Einstellungen des Benutzers%
   Neuer Wert:
   • Start Page = http://poetry.rot**********

– [HKEY_LOCAL_NACHINE\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • Start Page = %Einstellungen des Benutzers%
   Neuer Wert:
   • Start Page = http://poetry.rot**********

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • Window title = :::::::::::::::::: ß ÏÅÒÓØÈÍÍÀß ÁËßÄÜ Ñ ÃÍÈËÎÉ ÆÎÏÎÉ ::::::::::::::::::

– [HKLM\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • NoManageMyComputerVerb = dword:00000001
   • NoNetHood = dword:00000001
   • NoPrinters = dword:00000001
   • NoPrinterTabs = dword:00000001
   • NoSMHelp = dword:00000001
   • NoThemesTab = dword:00000001
   • NoToolbarCustomize = dword:00000001
   • NoUserNameInStartMenu = dword:00000001
   • NoSaveSettings = dword:00000001
   • NoClose = dword:00000001
   • NoLogOff = dword:00000001
   • NoRecentDocsMenu = dword:00000001
   • NoFavoritesMenu = dword:00000001
   • NoFind = dword:00000001
   • NoRun = dword:00000001
   • NoDrives = dword:00000014
   • NoControlPanel = dword:00000001
   • Window title = :::::::::::::::::: ß ÏÅÒÓØÈÍÍÀß ÁËßÄÜ Ñ ÃÍÈËÎÉ ÆÎÏÎÉ ::::::::::::::::::

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
   Neuer Wert:
   • {20D04FE0-3AEA-1069-A2D8-08002B30309D} = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   Neuer Wert:
   • NoAddRemovePrograms = dword:00000001

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 8. März 2006
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 8. März 2006

zurück . . . .