Name:TR/Shell.Eviell
Entdeckt am:04/03/2008
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:~ 22.000 Bytes
IVDF Version:7.00.02.228 - Dienstag, 4. März 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Small.iuq
   •  F-Secure: Trojan-Downloader.Win32.Small.iuq
   •  Grisoft: Dropper.Agent.HFG
   •  Eset: Win32/TrojanDropper.Agent.EYA trojan
   •  Bitdefender: Trojan.Agent.AHFF


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Lädt eine schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://s2.cookingluck.com/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://setup.jobusiness.org/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://void.gribokk.com/sv/**********
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.fwi

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{e5f4ae58-dba6-4052-8df5-ad63e30572d7}\InProcServer32]
   • "(Default)"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "%ausgeführte Datei%"="{e5f4ae58-dba6-4052-8df5-ad63e30572d7}"

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 8. April 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 8. April 2008

zurück . . . .