Name:TR/Dldr.FakeAV.AV
Entdeckt am:21/07/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:15.872 Bytes
MD5 Prüfsumme:68c601d188463f761e8ca174a5117e40
IVDF Version:7.10.09.146 - Mittwoch, 21. Juli 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  F-Secure: Trojan:W32/Alureon.AV
   •  Sophos: Troj/FakeAV-BND
   •  Panda: Adware/DefenseCenter
   •  Eset: Win32/Kryptik.DUK
   •  AhnLab: Trojan/Win32.FakeAV
   •  Authentium: W32/Trojan3.BWF
   •  DrWeb: Trojan.DownLoad1.58681
   •  Ikarus: Win32.Outbreak
   •  Rising: Packer.Win32.Agent.bk


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine Datei
   • Änderung an der Registry

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

– %ALLUSERSPROFILE%\Favorites\_favdata.dat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://se**********eok
Diese wird lokal gespeichert unter: %TEMPDIR%\%zufällige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

 Registry Folgender Registryschlüssel wird geändert:

– [HKCU\Printers\Connections]
   Neuer Wert:
   • affid="396"
   • subid="landing"

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Mittwoch, 21. Juli 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Mittwoch, 21. Juli 2010

zurück . . . .