Name:TR/Banker.Banz.dfg
Entdeckt am:13/07/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:5.408.768 Bytes
MD5 Prüfsumme:4cc5e9f5b28be7c29abee34f51f78a30
IVDF Version:7.10.09.77 - Dienstag, 13. Juli 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Banker.Win32.Banz.dfg
   •  F-Secure: Trojan-Banker.Win32.Banz.dfg
   •  Eset: Win32/Spy.Banker.UDU
   •  Bitdefender: Trojan.Crypt.Delf.B


Betriebsysteme:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

 Registry – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctmon2"="C:\Arquivos de programas\Sidebar\new.exe"
   • "Sidebr"="C:\Arquivos de programas\Sidebar\new.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "msnmsr"="C:\Arquivos de programas\Sidebar\new.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".exe"

– [HKCU\Software\AVG Security Toolbar]
   • "moveUnderTabs"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   Firewal+lPolicy]
   • "EnableFirewall"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\Partizan]
   • "HideWelcomeMessage"=dword:00000002
   • "UseSafedelete"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Partizan]
   • "HideWelcomeMessage"=dword:00000002
   • "UseSafedelete"=dword:00000000



Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   Alter Wert:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
   Neuer Wert:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,20,00,00,00,46,00,\
   • 43,00,4f,00,52,00,50,00,00,00,41,00,56,00,00,00,00,00
   •

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Alter Wert:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00
   Neuer Wert:
   • "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
   • 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,20,00,00,00,46,00,\
   • 43,00,4f,00,52,00,50,00,00,00,41,00,56,00,00,00,00,00
   •

Die Beschreibung wurde erstellt von Patrick Schoenherr am Dienstag, 13. Juli 2010
Die Beschreibung wurde geändert von Patrick Schoenherr am Mittwoch, 14. Juli 2010

zurück . . . .