Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Inject.81409.BI
Entdeckt am:22/04/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:81.409 Bytes
MD5 Prüfsumme:b2dfa22025a1043e3a12837222f6753f
IVDF Version:7.10.06.171 - Donnerstag, 22. April 2010

 General Aliases:
   •  Sophos: Troj/Delf-FEP
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8165


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\nvdis.exe



Es wird folgende Datei erstellt:

%TEMPDIR%\google_cache112.tmp



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • netsh firewall add allowedprogram %TEMPDIR%\nvdis.exe WindowsSafety ENABLE


– Dateiname:
   • taskkill /IM winlog.exe


– Dateiname:
   • taskkill /IM svchost.exe


– Dateiname:
   • taskkill /IM csrss.exe


– Dateiname:
   • taskkill /IM lsass.exe


– Dateiname:
   • "%TEMPDIR%\nvdis.exe"

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\nvdis.exe"

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %TEMPDIR%\nvdis.exe

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: rix.mes**********.su
Port: 1234
Channel: #l#
Nickname: {NEW}[USA][XP-%Windows version%]%Nummer%

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • winlog.exe
   • svchost.exe
   • csrss.exe
   • lsass.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 6. Juli 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 6. Juli 2010

zurück . . . .