Name:TR/Drop.Small.aqx
Entdeckt am:19/07/2006
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:78.848 Bytes
MD5 Prüfsumme:f787be1f778feb2870e4b03aa83e6eed
VDF Version:6.35.00.184
IVDF Version:6.35.00.224

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: PWS-LDPinch
   •  Kaspersky: Trojan-Dropper.Win32.Small.aqx
   •  F-Secure: Trojan-Dropper.Win32.Small.aqx
   •  Eset: Win32/TrojanDropper.Microjoin.C


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

%TEMPDIR%\Xinch.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.LdPinch.UJ.3

%TEMPDIR%\kgb_KS.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.Microjo.I.2

%SYSDIR%\SVKP.sys

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\SVKP.sys
   • "DisplayName"="SVKP"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
   • "0"="Root\\LEGACY_SVKP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • SVKP

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 11. September 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 11. September 2006

zurück . . . .