Vollständige Virenbeschreibung

Name:	TR/Fake.SecSui.O
Entdeckt am:	12/07/2010
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	293.632 Bytes
MD5 Prüfsumme:	29891f565c522214bec5ee4e5f635ceb
VDF Version:	7.10.09.72

General Verbreitungsmethode:
   • Autorun Dateien

Aliases:
   • Kaspersky: Trojan.Win32.FraudPack.azkf
   • Microsoft: Trojan:Win32/FakeSpypro
   • Panda: Trj/CI.A
   • Eset: Win32/Adware.SpywareProtect2009
   • AhnLab: Trojan/Win32.FraudPack
   • DrWeb: Trojan.Fakealert.18283

Betriebsystem:
   • Windows XP

Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Terminierung von Sicherheitsprogrammen
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\AVSS]
– [HKLM\Software\AVSS]
– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"

Folgender Registryschlüssel wird geändert:

Verringert die Sicherheitseinstellungen des Internet Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Alter Wert:
   • "ProxyEnable"=dword:00000000
   Neuer Wert:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""
   •

Die Beschreibung wurde erstellt von Florian Burlefinger am Mittwoch, 14. Juli 2010
Die Beschreibung wurde geändert von Florian Burlefinger am Donnerstag, 15. Juli 2010

zurück . . . .