Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Prolaco.H
Entdeckt am:12/02/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:197.632 Bytes
MD5 Prüfsumme:a61638642bbfbb4c582110d7e003553a
IVDF Version:7.10.04.44 - Freitag, 12. Februar 2010

 General Aliases:
   •  Sophos: W32/Zuggie-A
   •  Panda: W32/Spybot.AKB.worm
   •  Eset: Win32/Merond.AB
   •  Bitdefender: Win32.Worm.Prolaco.H


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Application Data\SystemProc\lsass.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: JS/Dursg.F

%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://controllrx.com/**********?aid=




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • "C:\Documents and Settings\Administrator\Application Data\SystemProc\lsass.exe"

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"



Folgender Registryschlüssel wird geändert:

– [HKCU\Identities]
   Neuer Wert:
   • "Curr version"="12"
   • "Inst Date"=""
   • "Last Date"=""
   • "Popup count"="0"
   • "Popup date"="0"
   • "Popup time"="0"
   • "Send Inst"="ok"

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 7. April 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 7. April 2010

zurück . . . .