Name:DR/Monder.436224
Entdeckt am:14/10/2008
Art:Dropper
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
IVDF Version:7.00.07.40 - Dienstag, 14. Oktober 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Vundo trojan
   •  Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.bih
   •  F-Secure: AdWare.Win32.Virtumonde.bih
   •  Eset: Win32/TrojanDownloader.ConHook trojan
   •  Bitdefender: Trojan.Vundo.GE


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine Datei

 Dateien Es werden folgende Dateien erstellt:

%TEMPDIR%\IXP000.TMP\is151099.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Vundo.Gen

%TEMPDIR%\IXP000.TMP\RP11_A~1.EXE Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

 Registry Folgender Registryschlüssel wird geändert:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   Neuer Wert:
   • "wextract_cleanup0"="rundll32.exe %SYSDIR%\advpack.dll,DelNodeRunDLL32 "%TEMPDIR%\IXP000.TMP\""

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Thomas Wegele am Donnerstag, 23. Oktober 2008
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 23. Oktober 2008

zurück . . . .