Name:TR/BHO.gfu
Entdeckt am:02/09/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:155.648 Bytes
IVDF Version:7.00.06.106 - Dienstag, 2. September 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Trojan.Zlob
   •  Mcafee: Puper trojan
   •  Kaspersky: Trojan-Downloader.Win32.BHO.sz
   •  F-Secure: Trojan-Downloader.Win32.BHO.sz
   •  Sophos: Mal/FakeAV-D
   •  Panda: Adware/WebSearch
   •  Eset: Win32/TrojanDownloader.FakeAlert.IC trojan


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCR\CLSID\{709d3024-e53d-4627-b8d8-740df2058cce}\InprocServer32]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%"
   • "ThreadingModel"="Apartment"



Es wird ein browser helper object (BHO) registriert indem folgende keys hinzugefügt werden:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{cb287b37-cd29-45dc-b85b-8d6ff14b9f91}]
   • @="CodecPlugin Class"
   • "NoExplorer"=dword:00000001



Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{709d3024-e53d-4627-b8d8-740df2058cce}]
   • @="XMLDOMDocumentEventsSink Class"
   • "AppID"="{bc849b24-f887-4368-bb77-939d069a3517}"

– [HKCR\CLSID\{709d3024-e53d-4627-b8d8-740df2058cce}\ProgID]
   • @="CodecBHO.XMLDOMDocumentEventsSink.1"

– [HKCR\CLSID\{709d3024-e53d-4627-b8d8-740df2058cce}\TypeLib]
   • @="{7b2a5567-a549-42fc-b870-a5e35dca583b}"

– [HKCR\CLSID\{709d3024-e53d-4627-b8d8-740df2058cce}\
   VersionIndependentProgID]
   • @="CodecBHO.XMLDOMDocumentEventsSink"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 28. Oktober 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 28. Oktober 2008

zurück . . . .