Name:TR/Drop.PicHut.B
Entdeckt am:23/07/2010
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:113.664 Bytes
MD5 Prüfsumme:1669696567d21ff756052a90e526cba3
IVDF Version:7.10.09.193 - Freitag, 23. Juli 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Worm.Win32.VBNA.akzw
   •  F-Secure: Worm:W32/Vobfus.BJ
   •  Microsoft: Worm:Win32/Vobfus.H
   •  Eset: Win32/AutoRun.VB.RP
   •  DrWeb: Win32.HLLW.Autoruner.25109
   •  Norman: W32/VBNA.BL


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\%zufällige Buchstabenkombination%.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://co**********e.net:999/a
Diese wird lokal gespeichert unter: %HOME%\%zufällige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.PicHut.B.1

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "cuaxiiz"="%HOME%\%zufällige Buchstabenkombination%.exe"



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "ShowSuperHidden"=dword:00000001
   Neuer Wert:
   • "ShowSuperHidden"=dword:00000000

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Patrick Schoenherr am Freitag, 23. Juli 2010
Die Beschreibung wurde geändert von Patrick Schoenherr am Freitag, 23. Juli 2010

zurück . . . .