Vollständige Virenbeschreibung

Name:	TR/Kebede.F
Entdeckt am:	29/06/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Hoch
Statische Datei:	Ja
Dateigröße:	12.304 Bytes
MD5 Prüfsumme:	d8b6aa4bf9ae89ca1eff5d86c4f45905
VDF Version:	6.31.00.122

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • TrendMicro: TROJ_KEDEBE.E
   • Bitdefender: Trojan.Vb.ZX

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Setzt Sicherheitseinstellungen herunter

Dateien Dateien welche eine der folgenden Zeichenketten enthalten werden gelöscht:
   • APLICA32
   • APVXDWIN
   • ATCON
   • ATRO55EN
   • AU
   • AV
   • BD_PROFESSIONAL
   • BIDEF
   • BIDSERVER
   • BISP
   • BLA
   • BOOTWARN
   • BORG2
   • BS120
   • CCAPP
   • CLEAN
   • CMD
   • COMMAND
   • CWNT
   • DEPUTY
   • DIAL
   • DPF
   • IFW2000
   • DRWEBUPW
   • EDIT
   • ENT
   • FAST
   • FIREWALL
   • FP-WIN_TRIAL
   • FRW
   • GBMENU
   • GBPOLL
   • GCAS
   • GUARD
   • HACKTRACERSETUP
   • HIJACK
   • HTLOG
   • HWPE
   • IAMAPP
   • IAMSERV
   • ICLOAD
   • ICSSUPPNT
   • ICSUPP95
   • ICSUPPNT
   • IPARMOR
   • IRIS
   • JAMMER
   • KERIO
   • LDPRO
   • LLSSEV
   • LOCALNET
   • LOCKDOWN
   • LSETUP
   • LUALL
   • LUCOMS
   • MAIN
   • MCA
   • MGR
   • MGUI
   • MINILOG
   • MON
   • MOOLIVE
   • MRFLUX
   • MSCONFIG
   • MSINFO32
   • MSSMMC32
   • MU0311AD
   • NC2000
   • NCINST4
   • NDD32
   • NETARMOR
   • NETINFO
   • NETSTAT
   • NORTO
   • MNTOR
   • NTVDM
   • NVARCH16
   • NWINST4
   • NWTOOL16
   • OSTRONET
   • OUTPOST
   • PANIXK
   • PC
   • PDSETUP
   • PERISCOPE
   • PERSFW
   • PF
   • SHN
   • PLATIN
   • PORT
   • PPINUPDT
   • PPTBC
   • PPVSTOP
   • PROC
   • PROTECT
   • PROXY
   • PSPF
   • PURGE
   • PVIEW95
   • REG
   • RESCUE
   • RTVSCN95
   • RULAUNCH
   • SAFE
   • SBSERV
   • SCAN
   • SD
   • SETUPVAMEEVAL
   • SGSSFW32
   • SHELL
   • SMSRSS
   • SNDSRVC
   • SOFI
   • SOPHO
   • SPBBCSVC
   • SPF
   • SPHINX
   • SPY
   • ST2
   • STINGER
   • SUPFTRL
   • SYMA
   • SYN
   • TITANIN
   • TRACERT
   • TRJSETUP
   • TROJAN
   • UNDOBOOT
   • UPDATE
   • UPGRADE
   • VIRUS
   • ZON

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • symantec.com; www.symantec.com; www.microsoft.com; microsoft.com;
      windowsupdate.com; securityresponse.symantec.com;
      www.windowsupdate.com; sophos.com; www.sophos.com; mcafee.com;
      definitions.symantec.com; networkassociates.com;
      downloads-eu1.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads1.kaspersky-labs.com;
      www.kaspersky.com; www.kaspersky-labs.com; download.mcafee.com;
      updates.symantec.com; kaspersky.com; viruslist.com;
      liveupdate.symantecliveupdate.com; www.f-secure.com; www.nai.com;
      nai.com; trendmicro.com; www.download.com; download.com;
      www.networkassociates.com; us.mcafee.com; www.zonelabs.com;
      rads.mcafee.com; download.zonelabs.com; cm2.zonelabs.com; avp.com;
      www.avp.com; update.zonelabs.com; www.mcafee.com; www.trendmicro.com;
      dispatch.mcafee.com

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • APLICA32; APVXDWIN; ATCON; ATRO55EN; AU; AV; BD_PROFESSIONAL; BIDEF;
      BIDSERVER; BISP; BLA; BOOTWARN; BORG2; BS120; CCAPP; CLEAN; CMD;
      COMMAND; CWNT; DEPUTY; DIAL; DPF; IFW2000; DRWEBUPW; EDIT; ENT; FAST;
      FIREWALL; FP-WIN_TRIAL; FRW; GBMENU; GBPOLL; GCAS; GUARD;
      HACKTRACERSETUP; HIJACK; HTLOG; HWPE; IAMAPP; IAMSERV; ICLOAD;
      ICSSUPPNT; ICSUPP95; ICSUPPNT; IPARMOR; IRIS; JAMMER; KERIO; LDPRO;
      LLSSEV; LOCALNET; LOCKDOWN; LSETUP; LUALL; LUCOMS; MAIN; MCA; MGR;
      MGUI; MINILOG; MON; MOOLIVE; MRFLUX; MSCONFIG; MSINFO32; MSSMMC32;
      MU0311AD; NC2000; NCINST4; NDD32; NETARMOR; NETINFO; NETSTAT; NORTO;
      MNTOR; NTVDM; NVARCH16; NWINST4; NWTOOL16; OSTRONET; OUTPOST; PANIXK;
      PC; PDSETUP; PERISCOPE; PERSFW; PF; SHN; PLATIN; PORT; PPINUPDT;
      PPTBC; PPVSTOP; PROC; PROTECT; PROXY; PSPF; PURGE; PVIEW95; REG;
      RESCUE; RTVSCN95; RULAUNCH; SAFE; SBSERV; SCAN; SD; SETUPVAMEEVAL;
      SGSSFW32; SHELL; SMSRSS; SNDSRVC; SOFI; SOPHO; SPBBCSVC; SPF; SPHINX;
      SPY; ST2; STINGER; SUPFTRL; SYMA; SYN; TITANIN; TRACERT; TRJSETUP;
      TROJAN; UNDOBOOT; UPDATE; UPGRADE; VIRUS; ZON

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• DroppedKebede

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 28. März 2006
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 28. März 2006

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools