Name:TR/WSearch.503808
Entdeckt am:18/05/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:503.808 Bytes
MD5 Prüfsumme:26983eec770d46b7f7974ca00e6dff15
IVDF Version:7.10.08.186 - Freitag, 25. Juni 2010

 General Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Adload.skw
   •  VirusBuster: Adware.Rugo.RD
   •  Eset: Win32/Adware.WSearch.AD


Betriebsystem:
   • Windows XP


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt schädliche Dateien

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %WINDIR%\Tasks\ms.job

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\h8nil4o8\2.dll
   • %TEMPDIR%\h8nil4o8\3.dll
   • %TEMPDIR%\h8nil4o8\b.dll
   • %TEMPDIR%\h8nil4o8\4.dll

%SYSDIR%\799d.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\9bee.dll
%SYSDIR%\977o.dll

 Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\D408BD6C-6563-4ea7-8656-9D55DD65A1AC]
   • @="Microsoft User"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\BHO.FunPlayer.1]
   • @="CFunPlayer Object"

– [HKCR\BHO.FunPlayer.1\CLSID]
   • @="{D408BD6C-6563-4ea7-8656-9D55DD65A1AC}"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Florian Burlefinger am Freitag, 25. Juni 2010
Die Beschreibung wurde geändert von Florian Burlefinger am Dienstag, 29. Juni 2010

zurück . . . .