Name:DR.Autoit.XH
Entdeckt am:11/04/2009
Art:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:247656 Bytes
MD5 Prüfsumme:862b8fa9bd546e06dac3f0ba8ae86647
VDF Version:7.01.02.226

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Autoit.xh
   •  Eset: Win32/TrojanDownloader.Autoit.NAR
   •  Bitdefender: Trojan.Generic.1329107


Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter

 Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://**********/multi2/svchosst.exe
Diese wird lokal gespeichert unter: %WINDIR%\system32 Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Erkannt als: TR/Dropper.Gen

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%SYSDIR%\svchosst.exe"="%SYSDIR%\svchosst.exe:*:Enabled:Windows Life
      Messenger"

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Viktor Graeber am Mittwoch, 29. April 2009
Die Beschreibung wurde geändert von Viktor Graeber am Mittwoch, 29. April 2009

zurück . . . .