Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Agent.ies
Entdeckt am:24/12/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Nein
Dateigröße:~1.390.000 Bytes
VDF Version:7.01.01.28

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Worm.Win32.AutoRun.arif
   •  F-Secure: Worm.Win32.AutoRun.arif
   •  Eset: Win32/FlyStudio.NET


Betriebsysteme:
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %systemdir%\XP-290F2C69.EXE
   • %systemdir%\XP-%8 random hexa digits%.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\ˇˇˇˇˇˇ
      (short-cut to XP-290F2C69.EXE)

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %systemdir%\com.run
   • %systemdir%\dp1.fne
   • %systemdir%\eAPI.fne
   • %systemdir%\internet.fne
   • %systemdir%\krnln.fnr
   • %systemdir%\RegEx.fnr
   • %systemdir%\shell.fne
   • %systemdir%\spec.fne
   • %systemdir%\og.EDT
   • %systemdir%\og.dll
   • %systemdir%\ul.dll
   • %tempdir%\E_4\com.run
   • %tempdir%\E_4\dp1.fne
   • %tempdir%\E_4\eAPI.fne
   • %tempdir%\E_4\internet.fne
   • %tempdir%\E_4\krnln.fnr
   • %tempdir%\E_4\RegEx.fnr
   • %tempdir%\E_4\shell.fne
   • %tempdir%\E_4\spec.fne




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %systemdir%\XP-%8 random hexa digits%.exe
Des weiteren enthält sie schadhaften Code. Erkannt als: TR/Agent.ies

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "XP-290F2C69"="%SYSDIR%\XP-290F2C69.EXE"

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://www.hidatabase.cn/**.***


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Mihai Dilimot am Mittwoch, 29. Juli 2009
Die Beschreibung wurde geändert von Mihai Dilimot am Mittwoch, 29. Juli 2009

zurück . . . .