Name:TR/Agent.YU.2
Entdeckt am:12/09/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:137.216 Bytes
MD5 Prüfsumme:c6dad9eb2cf8de75a481122094b303e3
VDF Version:6.35.01.215
IVDF Version:6.35.01.219 - Mittwoch, 13. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Agent.yu
   •  TrendMicro: TROJ_AGENT.ETQ
   •  F-Secure: Trojan.Win32.Agent.yu
   •  Eset: Win32/Agent.YU


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe
   • %WINDIR%\WinSxS\Manifests\SMSS.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ALG"="%WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe"
   • "SERVICES"="%WINDIR%\WinSxS\Manifests\SMSS.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Obsidium]


Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   Alter Wert:
   • "NoStartMenuMFUprogramsList"=%Einstellungen des Benutzers%
   • "NoStartMenuPinnedList"=%Einstellungen des Benutzers%
   • "NoStartMenuSubFolders"=%Einstellungen des Benutzers%
   • "NoCommonGroups"=%Einstellungen des Benutzers%
   • "NoSMMyPictures"=%Einstellungen des Benutzers%
   • "NoStartMenuMyMusic"=%Einstellungen des Benutzers%
   • "NoSMMyDocs"=%Einstellungen des Benutzers%
   • "NoDesktop"=%Einstellungen des Benutzers%
   • "NoActiveDesktop"=%Einstellungen des Benutzers%
   • "NoViewOnDrive"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   Alter Wert:
   • "NoViewContextMenu"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoViewContextMenu"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Start_ShowRun"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Alter Wert:
   • "NoViewContextMenu"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoViewContextMenu"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Start_ShowRun"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • "NoStartMenuPinnedList"=%Einstellungen des Benutzers%
   • "NoStartMenuMFUprogramsList"=%Einstellungen des Benutzers%
   • "NoStartMenuSubFolders"=%Einstellungen des Benutzers%
   • "NoCommonGroups"=%Einstellungen des Benutzers%
   • "NoSMMyPictures"=%Einstellungen des Benutzers%
   • "NoStartMenuMyMusic"=%Einstellungen des Benutzers%
   • "NoSMMyDocs"=%Einstellungen des Benutzers%
   • "NoDesktop"=%Einstellungen des Benutzers%
   • "NoActiveDesktop"=%Einstellungen des Benutzers%
   • "NoViewOnDrive"=%Einstellungen des Benutzers%
   • "NoControlPanel"=%Einstellungen des Benutzers%
   • "NoDrives"=%Einstellungen des Benutzers%
   • "NoRun"=%Einstellungen des Benutzers%
   • "NoFind"=%Einstellungen des Benutzers%
   • "NoFavoritesMenu"=%Einstellungen des Benutzers%
   • "NoRecentDocsMenu"=%Einstellungen des Benutzers%
   • "NoLogOff"=%Einstellungen des Benutzers%
   • "NoClose"=%Einstellungen des Benutzers%
   • "NoSaveSettings"=%Einstellungen des Benutzers%
   • "NoUserNameInStartMenu"=%Einstellungen des Benutzers%
   • "NoToolbarCustomize"=%Einstellungen des Benutzers%
   • "NoThemesTab"=%Einstellungen des Benutzers%
   • "NoSMHelp"=%Einstellungen des Benutzers%
   • "NoPrinterTabs"=%Einstellungen des Benutzers%
   • "NoPrinters"=%Einstellungen des Benutzers%
   • "NoNetHood"=%Einstellungen des Benutzers%
   • "NoManageMyComputerVerb"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Startseite des Internet Explorers:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Start Page"=%Einstellungen des Benutzers%
   • "Window title"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Start Page"=%Einstellungen des Benutzers%
   • "Window title"=%Einstellungen des Benutzers%
   • "NoControlPanel"=%Einstellungen des Benutzers%
   • "NoDrives"=%Einstellungen des Benutzers%
   • "NoRun"=%Einstellungen des Benutzers%
   • "NoFind"=%Einstellungen des Benutzers%
   • "NoFavoritesMenu"=%Einstellungen des Benutzers%
   • "NoRecentDocsMenu"=%Einstellungen des Benutzers%
   • "NoLogOff"=%Einstellungen des Benutzers%
   • "NoClose"=%Einstellungen des Benutzers%
   • "NoSaveSettings"=%Einstellungen des Benutzers%
   • "NoUserNameInStartMenu"=%Einstellungen des Benutzers%
   • "NoToolbarCustomize"=%Einstellungen des Benutzers%
   • "NoThemesTab"=%Einstellungen des Benutzers%
   • "NoSMHelp"=%Einstellungen des Benutzers%
   • "NoPrinterTabs"=%Einstellungen des Benutzers%
   • "NoPrinters"=%Einstellungen des Benutzers%
   • "NoNetHood"=%Einstellungen des Benutzers%
   • "NoManageMyComputerVerb"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Alter Wert:
   • "DisableTaskMgr"=%Einstellungen des Benutzers%
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableTaskMgr"=%Einstellungen des Benutzers%
   • "NoDispCPL"=%Einstellungen des Benutzers%
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
   Alter Wert:
   • "NoBrowserClose"=%Einstellungen des Benutzers%
   • "NoNavButtons"=%Einstellungen des Benutzers%
   • "NoSelectDownloadDir"=%Einstellungen des Benutzers%
   • "NoBrowserContextMenu"=%Einstellungen des Benutzers%
   • "NoBrowserOptions"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoBrowserClose"=dword:00000001
   • "NoNavButtons"=dword:00000001
   • "NoSelectDownloadDir"=dword:00000001
   • "NoBrowserContextMenu"=dword:00000001
   • "NoBrowserOptions"=dword:00000001

Formatierung der Zeit:
– [HKCU\Control Panel\International]
   Alter Wert:
   • "sTimeFormat"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "sTimeFormat"="ÁËßÄÜ"

– [HKCU\Control Panel\Desktop]
   Alter Wert:
   • "MenuShowDelay"=%Einstellungen des Benutzers%
   • "WallpaperOriginX"=%Einstellungen des Benutzers%
   • "WallpaperOriginY"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "MenuShowDelay"="9999"
   • "WallpaperOriginX"="210"
   • "WallpaperOriginY"="187"

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Neuer Wert:
   • "DiskSpaceThreshold"=dword:00000099

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "LegalNoticeCaption"=%Einstellungen des Benutzers%
   • "LegalNoticeText"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
   Alter Wert:
   • "LegalNoticeCaption"=%Einstellungen des Benutzers%
   • "LegalNoticeText"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Alter Wert:
   • "DisableSR"=%Einstellungen des Benutzers%
   • "RPLifeInterval"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableSR"=dword:00000001
   • "RPLifeInterval"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall]
   Alter Wert:
   • "NoAddRemovePrograms"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoAddRemovePrograms"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   Alter Wert:
   • "NoAddRemovePrograms"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoAddRemovePrograms"=dword:00000001

 Prozess Beendigung  Liste der Dienste die beendet werden:
   • System Restore
   • Task Manager

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Adriana Popa am Freitag, 27. Oktober 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 30. Oktober 2006

zurück . . . .