Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Agent.172032.6
Entdeckt am:16/04/2007
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:172.032 Bytes
MD5 Prfsumme:50fcc03125d42d7e1251d006eba8b12a
VDF Version:6.38.00.220
IVDF Version:6.38.00.224 - Montag, 16. April 2007

 General    • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: W32/Zaflen.a
   •  Kaspersky: Worm.Win32.VB.gr
   •  F-Secure: Worm.Win32.VB.gr
   •  Sophos: W32/Lovelet-AD
   •  Panda: W32/Nedro.C.worm
   •  Eset: Win32/VB.BP
   •  Bitdefender: Win32.Worm.VB.TC


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\lsass.exe
   • %SYSDIR%\mskernel.exe
   • %WINDIR%\setup\mskernel.exe
   • %WINDIR%\services.exe
   • %WINDIR%\gorgle\csrss.exe
   • %ALLUSERSPROFILE%\Desktop\Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\Programs\Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\New Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\folderwiz.com
   • %HOME%\NetHood\Hot Picture.com
   • %HOME%\My Documents\My Picture.com
   • %HOME%\PrintHood\Printing Information.com
   • %HOME%\Recent\New Microsoft Word Document.scr
   • %HOME%\SendTo\Image Editor.com
   • %HOME%\Start Menu\Image Viewer.com
   • %HOME%\My Documents\My Picture.com
   • %HOME%\My Documents\MyPictures\mskernel.exe
   • %HOME%\My Documents\Rated R Pictures.com
   • %WINDIR%\AutoRun.ini
   • C:\CoolWorld.exe
   • %WINDIR%\agila.scr
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\CoolWorld.exe



Es wird folgende Datei erstellt:

C:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [autorun]
     open=CoolWorld.exe
     shell\open=Open
     shell\open\Command=CoolWorld.exe
     shell\open\Default=1
     shell\explore=Explore
     shell\explore\Command=CoolWorld.exe

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="explorer.exe "%WINDIR%\services.exe""
   • Userinit="%SYSDIR%\userinit.exe,%WINDIR%\gorgle\csrss.exe,"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • (Default)="%SYSDIR%\mskernel.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • (Default)="\WINDOWS\lsass.exe"
   • WinRun="%WINDIR%\AutoRun.ini"



Folgende Registryschlssel werden hinzugefgt:

[HKCR\Folder\shell\About Us\Command]
[HKLM\Software\Microsoft\Windows\System\Malicious]
   • Sams32="0212"



Folgende Registryschlssel werden gendert:

Verschiedenste Einstellungen des Explorers:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • Run=dword:00000001
   • NoFolderOptions=dword:00000001
   • NoRun=dword:00000001

Deaktivieren von Regedit und Task Manager:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • DisableRegistryTools=dword:00000001

[HKCR\avifile\shell\open\command]
   Neuer Wert:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

[HKCR\piffile\shell\open\command]
   Neuer Wert:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

[HKCR\artfile\shell\open\command]
   Neuer Wert:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

[HKCR\datfile\shell\open\command]
   Neuer Wert:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

[HKCR\exefile]
   Neuer Wert:
   • NeverShowExt="

[HKCR\scrfile]
   Neuer Wert:
   • NeverShowExt="
     (Default)="Microsoft Word Document"

[HKCR\batfile]
   Neuer Wert:
   • NeverShowExt="

[HKCR\comfile]
   Neuer Wert:
   • NeverShowExt="
     (Default)="JPEG Image"

[HKCR\comfile\defaulticon]
   Neuer Wert:
   • (Default)="shimgvw.dll,3"

[HKLM\SOFTWARE\Microsoft\Windows]
   Neuer Wert:
   • ScanningSystemDrive="False"

[HKCR\batfile\shell\edit\command]
   Neuer Wert:
   • (Default)=hex(2):73,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,20,00,2d,00,73,00,20,00,2d,00,66,00,20,00,2d,00,74,00,20,00,30,00,00,00

[HKCR\inifile\shell\open\command]
   Neuer Wert:
   • (Default)=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • avgctrl.exe; kav.exe; avgamsvr.exe; avgserv.exe; avgmsvr.exe;
      avgcc32.exe; avgcc.exe; avginet.exe; avgupsvc.exe; avgemc.exe;
      avgnt.exe; avgregcl.exe; avgserv9.exe; avgw.exe; alogserv.exe;
      avsynmgr.exe; Mpfsheild.exe; MpfAgent.exe; mpf.exe; MpfConsole.exe;
      mcagent.exe; mcappins.exe; McDash.exe; mcdetect.exe; mcinfo.exe;
      mcmnhdlr.exe; mcshield.exe; mctskshd.exe; mcupdate.exe; mcvsescn.exe;
      mcvsshld.exe; avpcc.exe; mcvsftsn.exe; mcvsrte.exe; vstskmgr.exe;
      vsmain.exe; vshwin32.exe; pccpfw.exe; pccclient.exe; pcclient.exe;
      pccguide.exe; pccnt.exe; pccntmon.exe; pccntupd.exe; PcCtlCom.exe;
      pcscan.exe; avpm.exe; kavsvc.exe; AVENGINE.EXE; nisserv.exe;
      NISUM.exe; Navapsvc.exe; NMain.exe; Navapw32.exe; VetMsg.exe;
      VetTray.exe; Vet32.exe; VetNT.exe; vsmon.exe; zlclient.exe; zapro.exe;
      zonealarm.exe; APVXDWIN.EXE; AVLITE.EXE; AVLTMAIN.EXE; AVTASK.EXE;
      LUPGCONF.EXE; PAVSRV51.EXE; PavPrSrv.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Ernest Szocs am Mittwoch, 7. November 2007
Die Beschreibung wurde geändert von Ernest Szocs am Donnerstag, 8. November 2007

zurück . . . .