Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Drop.Auto.284172
Entdeckt am:08/07/2008
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Nein
IVDF Version:7.00.05.62 - Dienstag, 8. Juli 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: W32.SillyFDC
   •  Mcafee: Generic Downloader.x
   •  Sophos: W32/AutoIt-I
   •  Panda: Trj/Autoit.CJ
   •  Grisoft: Worm/Autoit.BFQ
   •  Eset: Win32/Autoit.CT
   •  Bitdefender: Trojan.Autoit.TU


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien  Es wird folgendes Verzeichnis erstellt:
   • %PROGRAM FILES%\Common Files\Microsoft Shared\HTMLView

%PROGRAM FILES%\Common Files\Microsoft Shared\HTMLView\htmlsupport%Nummer%.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
%PROGRAM FILES%\Common Files\Microsoft Shared\HTMLView\htmlview.exe
%PROGRAM FILES%\Common Files\Microsoft Shared\HTMLView\sobsoftex.dll
%PROGRAM FILES%\Common Files\Microsoft Shared\HTMLView\win.exe



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://rosk.ic.cz/htmlsupport/**********
   • http://rosk.ic.cz/htmlsupport/**********
   • http://rosk.ic.cz/htmlsupport/**********

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HTMLSupport"="%HOME%\Application Data\Microsoft\Internet Explorer\htmlsupport%Nummer%.exe"

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 2. Juli 2009
Die Beschreibung wurde geändert von Petre Galan am Freitag, 10. Juli 2009

zurück . . . .