Name:TR/Vilsel.ssr
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:47.616 Bytes
MD5 Prüfsumme:e1e5e9d30d9c28bf64612b051fc4b31b

 General Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Dateien werden gelöscht:
   • C:\Temp\uninst0089ef8.bat
   • C:\Temp\a756.tmp



Es werden folgende Dateien erstellt:

%SYSDIR%\kr_done1
%TEMPDIR%\uninst0089ef8.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://ihppxoaw.loaddd.in/t/%character string%/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "MigrateProxy"=dword:0x00000001
   • "ProxyEnable"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   Neuer Wert:
   • "ProxyBypass"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft]
   Neuer Wert:
   • "kr_done1"=dword:0x000000c3

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • ashMaiSv.exe; ashServ.exe; VetMsg.exe; ISafe.exe; CAVRID.exe;
      F-Sched.exe; FP-Win.exe; fpavupdm.exe; fssm32.exe; fsgk32st.exe;
      fsav32.exe; Tmntsrv.exe; PCCClient.exe; pccguide.exe; bdnagent.exe;
      bdss.exe; MskAgent.exe; MpfAgent.exe; MSKSrvr.exe; MpfService.exe;
      Pavkre.exe; AVENGINE.EXE; pavprsrv.exe; prevsrv.exe; pavsrv51.exe;
      avgamsvr.exe; avgupsvc.exe; avgcc.exe; navapsvc.exe; Rtvscan.exe;
      DefWatch.exe; vptray.exe; nod32kui.exe; nod32krn.exe; avp.exe;
      kav.exe; kavsvc.exe


 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • microsoft.com
   • linux.org
   • yahoo.com
   • google.com

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 18. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 18. Februar 2010

zurück . . . .