Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.8192.133
Entdeckt am:07/04/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:8.192 Bytes
MD5 Prfsumme:5b80ab11e472cd8e26ef1ade5855e17e
VDF Version:7.10.02.129
IVDF Version:7.10.06.40 - Mittwoch, 7. April 2010

 General Verbreitungsmethode:
    Autorun Dateien


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Laufwerk%\Seguridad\@b@ddon.exe
   • C:\Seguridad\ctfmon.exe
   • C:\Bootfont.sys
   • %Papierkorb%\Bootfont.sys



Es werden folgende Dateien erstellt:

%Laufwerk%\AutoRun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Papierkorb%\boot.ini
%Papierkorb%\AUTOEXEC.BAT
%Papierkorb%\NTDETECT.COM
%Papierkorb%\ntldr
%Papierkorb%\CONFIG.SYS
%Papierkorb%\IO.SYS
%Papierkorb%\MSDOS.SYS

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "index"="C:\Seguridad\ctfmon.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "index"="C:\Seguridad\ctfmon.exe"



Folgende Registryschlssel werden gendert:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"="2"
   • "HideFileExt"="Seguridad"

[HKCU\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • "load"="C:\Seguridad\ctfmon.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe,C:\Seguridad\ctfmon.exe"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe,C:\Seguridad\ctfmon.exe"

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 8. Juli 2010
Die Beschreibung wurde geändert von Ana Maria Niculescu am Mittwoch, 14. Juli 2010

zurück . . . .