Name:TR/Dldr.FraudLo.sxm
Entdeckt am:13/07/2009
Art:Security Privacy Risk
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Nein
VDF Version:7.01.04.223

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.FraudLoad.wner
   •  F-Secure: Trojan-Downloader.Win32.FraudLoad.wner
   •  Eset: Win32/Kryptik.AAL


Betriebsystem:
   • Windows XP


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry


Nach Aktivierung werden folgende Informationen angezeigt:




 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %program files%\HomeAntivirus2010\Uninstall.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcm80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcp80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcr80.dll
   • %program files%\HomeAntivirus2010\data\daily.cvd
   • %program files%\HomeAntivirus2010\pthreadVC2.dll
   • %program files%\HomeAntivirus2010\htmlayout.dll
   • %zufällig ausgewähltes Verzeichnis%\%zufällige Wörter%

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %tempdir%\prm%Nummer%
   • %tempdir%\wr%Nummer%
   • %tempdir%\clamav-%32 random hexa numbers%\daily.db
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.wdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.pdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.cfg
   • %tempdir%\clamav-%32 random hexa numbers%\daily.fp
   • %tempdir%\clamav-%32 random hexa numbers%\daily.zmd
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.info

– %program files%\HomeAntivirus2010\HomeAntivirus2010.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\AVEngn.dll Erkannt als: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\wscui.cpl Erkannt als: TR/Dldr.FraudLo.sxm

– %systemdir%\_scui.cpl Erkannt als: TR/Dldr.FraudLo.sxm




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://user:@bugermanosatora.com/files/ha21/Binaries1.cab
Diese wird lokal gespeichert unter: %temporary internet files%

– Die URL ist folgende:
   • http://user:************@bugermanosatora.com/files/BinariesAVE.cab
Diese wird lokal gespeichert unter: %temporary internet files%

– Die URL ist folgende:
   • http://user:************@bugermanosatora.com/files/BinariesAdd.cab
Diese wird lokal gespeichert unter: %temporary internet files%

– Die URL ist folgende:
   • http://user:************@bugermanosatora.com/files/ha21/BinariesGUI.cab
Diese wird lokal gespeichert unter: %temporary internet files%

– Die URL ist folgende:
   • http://user:************@bugermanosatora.com/files/BinariesSC.cab
Diese wird lokal gespeichert unter: %temporary internet files%

– Die URL ist folgende:
   • http://user:************@bugermanosatora.com/files/BinariesUpd.cab
Diese wird lokal gespeichert unter: %temporary internet files%

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Home Antivirus 2010"="\"%PROGRAM FILES%\HomeAntivirus2010\HomeAntivirus2010.exe\" /hide"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Control Panel\don't load]
   • "scui.cpl"="No"
   • "wscui.cpl"="No"

– [HKLM\SOFTWARE\HomeAntivirus2010]
   • "info"="%aktuelles Datum%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   HomeAntivirus2010]
   • "DisplayName"="Home Antivirus 2010"
   • "UninstallString"="%PROGRAM FILES%\HomeAntivirus2010\Uninstall.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Alter Wert:
   • "FirewallDisableNotify"=dword:00000000
   Neuer Wert:
   • "FirewallDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Alter Wert:
   • "UpdatesDisableNotify"=dword:00000000
   Neuer Wert:
   • "UpdatesDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Alter Wert:
   • "AntiVirusDisableNotify"=dword:00000000
   Neuer Wert:
   • "AntiVirusDisableNotify"=dword:00000001

Die Beschreibung wurde erstellt von Mihai Dilimot am Montag, 10. August 2009
Die Beschreibung wurde geändert von Mihai Dilimot am Dienstag, 11. August 2009

zurück . . . .