Name:TR/Dldr.Small.NIH
CME Nummer:934
Entdeckt am:20/03/2006
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:5.564 Bytes
MD5 Prüfsumme:aa66c9e160d1851deefa2d759afa6199
VDF Version:6.34.00.73

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://akgulati.com/**********
Diese wird lokal gespeichert unter: %WINDIR%\suhoy112.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.Banload.XY

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FiREWaLLpolicy\StAnDaRDPrOFiLe\AUtHorizedapplications\List]
   • %ausgeführte Datei% = %ausgeführte Datei%:*:ENABLED:0

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG 2.0

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 20. März 2006
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 20. März 2006

zurück . . . .