Name:TR/Click.Agent.AC
Entdeckt am:17/01/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:90.112 Bytes
MD5 Prüfsumme:807ec8a8b8e28b11258ff2782f1f91be
VDF Version:6.29.00.64

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.ac
   •  TrendMicro: TROJ_CLICKER.EQ
   •  Bitdefender: Trojan.Clicker.Agent.GQ


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\ansi.cfg

 Registry Die Werte des folgenden Registry keys werden gelöscht:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • SystemChecÂwk
   • SystemChecÂwk1



Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– HKCR\CLSID\{54645654-2225-4455-44A1-9F4543D34546}\InProcServer32
   • (Default) = "%SYSDIR%\vbsys2.dll"



Folgende Registryschlüssel werden hinzugefügt:

– HKCR\CLSID\{54645654-2225-4455-44A1-9F4543D34546}
   • (Default) = "System Check Application"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • SystemCheck2 = "{54645654-2225-4455-44A1-9F4543D34546}"

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://www7.logih.com/777/**********
   • http://540.filost.com/randomsites/**********

Hierdurch werden Hintertürfunktionen bereitgestellt.

Möglichkeiten der Fernkontrolle:
    • Besuch einer Webseite

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Marius T. Nicolae am Dienstag, 12. September 2006
Die Beschreibung wurde geändert von Marius T. Nicolae am Mittwoch, 13. September 2006

zurück . . . .