Name:TR/Rincux.AW
Entdeckt am:18/02/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:135.168 Bytes
MD5 Prüfsumme:5dcfaaef2dedd8280a9d5dbe7b888a2b
IVDF Version:7.01.02.40 - Mittwoch, 18. Februar 2009

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Agent.adxk
   •  Grisoft: Agent.AZKT
   •  Eset: Win32/Agent.NVO
   •  Bitdefender: Trojan.Rincux.AW


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%SYSDIR%\winnet.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Agent.adxk

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   System]
   • DllName="%SYSDIR%\winnet.dll"
   • Startup="LFStartup"
   • Shutdown="LFShutdown"
   • Asynchronous=dword:00000001
   • Impersonate=dword:00000000

 Hintertür Kontaktiert Server:
Den folgenden:
   • jiaozhu**********.9966.org:443

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • Computername
    • CPU Typ
    • Hardware
    • Benutzername
    • Information über das Windows Betriebsystem

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • iexplore.exe


Die Beschreibung wurde erstellt von Andreas Feuerstein am Mittwoch, 18. Februar 2009
Die Beschreibung wurde geändert von Robert Harja Iliescu am Freitag, 27. Februar 2009

zurück . . . .