Name:TR/BHO.rpn
Entdeckt am:18/11/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:600.576 Bytes
MD5 Prüfsumme:3e689fa211898a2ed05b6bdd8fa4f77c
VDF Version:7.01.00.56
IVDF Version:7.01.00.104 - Dienstag, 18. November 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Änderung an der Registry

 Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://searchersmart.com/**********
Diese wird lokal gespeichert unter: %Tempdir%\tmp%vierstellige zufällige Buchstabenkombination%.tmp

 Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{6AAFDAF4-3E26-993C-6EDB-16EC4D9758BE}]
   • NoExplorer=dword:00000001



Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{6AAFDAF4-3E26-993C-6EDB-16EC4D9758BE}]
   • (Default)="searchersmart search enhancer"

– [HKCR\CLSID\{6AAFDAF4-3E26-993C-6EDB-16EC4D9758BE}\InProcServer32]
   • ThreadingModel="Apartment"
   • (Default)="%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%"

– [HKCR\CLSID\{9A27FCA9-C961-4249-7A2D-D9470543748C}]
   • (Default)="Search panel"

– [HKCR\CLSID\{9A27FCA9-C961-4249-7A2D-D9470543748C}\InProcServer32]
   • ThreadingModel="Apartment"
   • (Default)="%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%"

– [HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
   {9A27FCA9-C961-4249-7A2D-D9470543748C}]

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Alexandru Dinu am Montag, 24. November 2008
Die Beschreibung wurde geändert von Alexandru Dinu am Montag, 24. November 2008

zurück . . . .