Name:TR/NSAnti.B.3
Entdeckt am:28/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:30.855 Bytes
MD5 Prüfsumme:7ef7d92faee21f9940dd89140A231ef0
VDF Version:6.35.01.15

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-PSW.Win32.Lmir.ayt
   •  TrendMicro: TSPY_DELF.BVH
   •  Bitdefender: Trojan.NSAnti.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\help\ZTpass.exe
   • %WINDIR%\help\ZTYX.CHI



Es wird folgende Datei erstellt:

%WINDIR%\help\ZThook.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lmir.awj.1

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\help\ZTpass.exe"
   • "DisplayName"="ZT Massacre"
   • "ObjectName"="LocalSystem"
   • "Description"="ZTmassacre"

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre\Enum]
   • "0"="Root\\LEGACY_ZTMASSACRE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Diverses Internetverbindung:

Eine Namensabfrage mit folgender Domain wird durchgeführt:
   • yhb1978.3322.org

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Daniel Constantin am Mittwoch, 9. August 2006
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 9. August 2006

zurück . . . .