Name:TR/Vb.akv
Entdeckt am:18/05/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:188.416 Bytes
MD5 Prüfsumme:fdd2e621aca76fd503535376e4063118
VDF Version:6.34.01.99
IVDF Version:6.34.01.101 - Donnerstag, 18. Mai 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.VB.akz
   •  F-Secure: Trojan.Win32.VB.akz
   •  Eset: Win32/VB.AKZ
   •  Bitdefender: Trojan.Vb.AKZ


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\jjakarta.exe
   • %HOME%\My Documents\ttrans.exe
   • %SYSDIR%\ooke.exe
   • %aktuelles Verzeichnis%\%aktueller Verzeichnisname%.exe



Folgende Dateien werden gelöscht:
   • %aktuelles Verzeichnis%\*.exe
   • %aktuelles Verzeichnis%\*.txt
   • %aktuelles Verzeichnis%\*.com
   • %aktuelles Verzeichnis%\*.reg
   • %aktuelles Verzeichnis%\*.inf
   • %aktuelles Verzeichnis%\*.rar



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\~%Hexadezimale Zahl%.tmp

– %HOME%\My Documents\Baca.html

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\MS Setup (ACME)]
– [HKCU\Software\Microsoft\MS Setup (ACME)\User Info]
   • "DefCompany"="Terima kasih kepada Vaksin.Com"
   • "DefName"="Terima kasih kepada Vaksin.Com"



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Alter Wert:
   • "FullPath"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "FullPath"=dword:00000001

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Alter Wert:
   • "FullPath"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "FullPath"=dword:00000001

– [HKCR\Directory]
   Alter Wert:
   • "InfoTip"="prop:DocComments"
   Neuer Wert:
   • "InfoTip"=""
   • "TileInfo"=""

– [HKCR\Directory\DefaultIcon]
   Alter Wert:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Neuer Wert:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\Folder]
   Alter Wert:
   • "TileInfo"="prop:Size"
   Neuer Wert:
   • "TileInfo"=""
   • "InfoTip"=""

– [HKCR\Folder\DefaultIcon]
   Alter Wert:
   • @="%SystemRoot%\System32\shell32.dll,3"
   Neuer Wert:
   • @="%WINDIR%\jjakarta.exe"

– [HKCR\exefile]
   Alter Wert:
   • @="Application"
   • "TileInfo"="prop:FileDescription;Company;FileVersion"
   • "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
   Neuer Wert:
   • @="File Folder"
   • "TileInfo"=""
   • "InfoTip"=""
   • "NeverShowExt"=""

– [HKCR\txtfile\shell\open\command]
   Alter Wert:
   • @="%SystemRoot%\system32\NOTEPAD.EXE %1"
   Neuer Wert:
   • @="%SYSDIR%\OOKE.EXE %1"

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "HideFileExt"=%Einstellungen des Benutzers%
   • "ClassicViewState"=%Einstellungen des Benutzers%
   • "SuperHidden"=%Einstellungen des Benutzers%
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "HideFileExt"=dword:00000001
   • "ClassicViewState"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "HideFileExt"=%Einstellungen des Benutzers%
   • "SuperHidden"=%Einstellungen des Benutzers%
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
   • "ClassicViewState"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "HideFileExt"=dword:00000001
   • "SuperHidden"=dword:00000001
   • "ShowSuperHidden"=dword:00000000
   • "ClassicViewState"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "DisableCAD"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Alter Wert:
   • "AntiVirusDisableNotify"=%Einstellungen des Benutzers%
   • "FirewallDisableNotify"=%Einstellungen des Benutzers%
   • "UpdatesDisableNotify"=%Einstellungen des Benutzers%
   • "AntiVirusOverride"=%Einstellungen des Benutzers%
   • "FirewallOverride"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000

Deaktivieren von Regedit und Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
   Alter Wert:
   • "RegisteredOrganization"=%Einstellungen des Benutzers%
   • "RegisteredOwner"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "RegisteredOrganization"="Terima kasih kepada Vaksin.Com"
   • "RegisteredOwner"="Terima kasih kepada Vaksin.Com"

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
   Alter Wert:
   • "NoFind"=%Einstellungen des Benutzers%
   • "NoRun"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • "NoFind"=%Einstellungen des Benutzers%
   • "NoRun"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="explorer.exe"
   Neuer Wert:
   • "Shell"="explorer.exe jjakarta.exe"

 Prozess Beendigung Prozesse mit einem der folgenden Fensternamen werden beendet:
   • windows task manager
   • search results


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Adriana Popa am Freitag, 24. November 2006
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 24. November 2006

zurück . . . .