Name:TR/Ransom.A.1
Entdeckt am:26/04/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
VDF Version:6.34.01.12

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Spy.Win32.Ransom.a
   •  TrendMicro: TROJ_RANSOM.A
   •  Sophos: Troj/Ransom-A

Wurde zuvor wie folgt erkannt:
   •  TR/Ransom.A


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien


Nach Aktivierung werden folgende Informationen angezeigt:




Die Bilder wurde der Anzeige halber modifiziert.

 Dateien Es werden folgende Dateien erstellt:

%Verzeichnis in dem die Malware ausgeführt wurde%\004.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.1

%Verzeichnis in dem die Malware ausgeführt wurde%\005.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.1

%Verzeichnis in dem die Malware ausgeführt wurde%\006.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.1

%Verzeichnis in dem die Malware ausgeführt wurde%\007.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.1

%Verzeichnis in dem die Malware ausgeführt wurde%\008.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.1

%Verzeichnis in dem die Malware ausgeführt wurde%\009.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.1

%Verzeichnis in dem die Malware ausgeführt wurde%\svchost.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.1

%Verzeichnis in dem die Malware ausgeführt wurde%\data3.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.1

%Verzeichnis in dem die Malware ausgeführt wurde%\data2.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.2

%Verzeichnis in dem die Malware ausgeführt wurde%\data4.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Ransom.A.3

%Verzeichnis in dem die Malware ausgeführt wurde%\dat1.bat
%SYSDIR%\wpd.exe Erkannt als: TR/Ransom.A.1

%SYSDIR%\ShudownUtility.exe

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\OZ Development\Applications\002.exe\Win1]
   • "x"=dword:00000008
   • "y"=dword:00000000
   • "width"=dword:000003f0
   • "height"=dword:0000030c
   • "zoomed"=dword:00000000

Die Beschreibung wurde erstellt von Andrei Ivanes am Dienstag, 2. Mai 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 2. Mai 2006

zurück . . . .