Vollständige Virenbeschreibung

Name:	TR/FakeAV.LBQ
Entdeckt am:	19/07/2010
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	45.568 Bytes
MD5 Prüfsumme:	d7c2473852f25cc0a06094d9e9130Fac
IVDF Version:	7.10.09.110 - Montag, 19. Juli 2010

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Backdoor.Win32.TDSS.ur
   • F-Secure: Trojan.FakeAV.LBQ
   • Sophos: Mal/TDSSPk-AD
   • Bitdefender: Trojan.FakeAV.LBQ
   • Microsoft: Trojan:Win32/Meredrop
   • AVG: Agent2.AZMO
   • VirusBuster: Trojan.Meredrop.ABKU
   • Eset: Win32/Olmarik.ABS
   • Sunbelt: Trojan.Win32.Meredrop
   • GData: Trojan.FakeAV.LBQ
   • AhnLab: Backdoor/Win32.TDSS
   • DrWeb: Trojan.PWS.IpDiscover.17
   • Ikarus: Trojan.Win32.Meredrop

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Leitet auf eine infizierte Webseite um

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %APPDATA%\b3bfd04c.exe

Es werden folgende Dateien erstellt:

– %SYSDIR%\spool\prtprocs\w32x86\17wSKU.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/FakeAV.LBQ

– %WINDIR%\Tasks\b3bfd04c.job
– %SYSDIR%\ernel32.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/FakeAV.LBQ

Registry Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Alter Wert:
   • "UacDisableNotify"=dword:00000000
   Neuer Wert:
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Alter Wert:
   • "NameServer"="%IP Addresse%"
   • "DhcpNameServer"="%IP Addresse%"
   Neuer Wert:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
   %CLSID%
   Alter Wert:
   • "NameServer"="%IP Addresse%"
   • "DhcpNameServer"="%IP Addresse%"
   Neuer Wert:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

Injektion – Es injiziert sich selbst in alle Prozesse.

    Alle der folgenden Prozesse:
   • spoolsv.exe
   • svchost.exe

Die Beschreibung wurde erstellt von Patrick Schoenherr am Montag, 26. Juli 2010
Die Beschreibung wurde geändert von Patrick Schoenherr am Montag, 26. Juli 2010

zurück . . . .