Name:TR/Fake.SecSui.O
Entdeckt am:12/07/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:293.632 Bytes
MD5 Prüfsumme:29891f565c522214bec5ee4e5f635ceb
VDF Version:7.10.09.72

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Kaspersky: Trojan.Win32.FraudPack.azkf
   •  Microsoft: Trojan:Win32/FakeSpypro
   •  Panda: Trj/CI.A
   •  Eset: Win32/Adware.SpywareProtect2009
   •  AhnLab: Trojan/Win32.FraudPack
   •  DrWeb: Trojan.Fakealert.18283


Betriebsystem:
   • Windows XP


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Terminierung von Sicherheitsprogrammen
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • nehlqwro"="%HOME%\Local Settings\Application Data\lphcpmrpw\mvcecmptssd.exe



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\AVSS]
– [HKLM\Software\AVSS]
– [HKCU\Software\AVSuitE]
– [HKLM\Software\AVSuitE]
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • "SaveZoneInformation"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"



Folgender Registryschlüssel wird geändert:

Verringert die Sicherheitseinstellungen des Internet Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Alter Wert:
   • "ProxyEnable"=dword:00000000
   Neuer Wert:
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:5577"
   • "ProxyOverride"=""
   •

Die Beschreibung wurde erstellt von Florian Burlefinger am Mittwoch, 14. Juli 2010
Die Beschreibung wurde geändert von Florian Burlefinger am Donnerstag, 15. Juli 2010

zurück . . . .