Vollständige Virenbeschreibung

Name:	TR/Renos.28160
Entdeckt am:	18/01/2007
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	28.160 Bytes
MD5 Prüfsumme:	1ac77505fc560F58c1fb5f944a4c3336
VDF Version:	6.37.00.171
IVDF Version:	6.37.00.187 - Donnerstag, 18. Januar 2007

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Downloader-AFH
   • Kaspersky: not-virus:Hoax.Win32.Renos.gs
   • F-Secure: not-virus:Hoax.Win32.Renos.gs
   • Sophos: Troj/Spywad-AO
   • Eset: Win32/Adware.SpySheriff

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\SpyMarshal.exe

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\SpyMarshal.lic

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\SpyMarshal0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: PHISH/FraudTool.SpySheriff.A.6

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\SpyMarshal0.sm

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\SpyMarshal1.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Zlob.127488

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\SpyMarshal1.sm

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\SpyMarshal2.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: PHISH/FraudTool.SpySheriff.A.5

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\SpyMarshal3.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: PHISH/FraudTool.SpySheriff.A.7

– Die URL ist folgende:
   • http://www.SpyMarshal.com/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\Uninstall.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows update loader = %WINDIR%\xpupdate.exe
   • SpyMarshal = %PROGRAM FILES%\SpyMarshal\SpyMarshal.exe

Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   Neuer Wert:
   • NoChangingWallpaper = dword:00000000
   • NoComponents = dword:00000000
   • NoAddingComponents = dword:00000000
   • NoDeletingComponents = dword:00000000
   • NoEditingComponents = dword:00000000
   • "NoHTMLWallPaper"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NoActiveDesktop = dword:00000000
   • ClassicShell = dword:00000000
   • ForceActiveDesktopOn = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • Wallpaper = %WINDIR%\desktop.html

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   Neuer Wert:
   • WallpaperFileTime = %Hex Werte%
   • WallpaperLocalFileTime = %Hex Werte%
   • ComponentsPositioned = dword:00000002

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 20. März 2007
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 20. März 2007

zurück . . . .