Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Scar.bxqc
Entdeckt am:24/03/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigre:225.280 Bytes
MD5 Prfsumme:0f728c1187e046662148ee7021e4b3b1
VDF Version:7.10.02.73
IVDF Version:7.10.05.192 - Mittwoch, 24. März 2010

 General Aliases:
   •  Bitdefender: Trojan.Agent.APCE
   •  Panda: Bck/Oscarbot.YL
   •  Eset: Win32/Sality.NAE


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\into.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Datei wird gelscht:
   • %SYSDIR%\wmimgr32.dl_



Es werden folgende Dateien erstellt:

%SYSDIR%\wmimgr32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Sality.L

%SYSDIR%\wmimgr32.dl_ Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Sality.L.1




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://www.invis1blearm3333.com/**********/?id607421


Die URLs sind folgende:
   • http://saeu.ego**********.com/?id607421
   • http://ngmtrl.555**********.com/?id607421
   • http://wbrqu.wtc**********.com/?id607421
   • http://cqjri.fdp**********.com/?id607421
   • http://rkvv.bpf**********.com/?id607421
   • http://vmmucs.u7z**********.com/?id607421
   • http://searchportal.inf**********.com/?o_id=%Nummer%&domainname=%Zeichenfolge%
   • http://gcst.zvc**********.com/?id607421
   • http://www.rus**********.com/
   • http://sp7.you**********.com/?acc=%Zeichenfolge%&dm=%Zeichenfolge%


Die URL ist folgende:
   • http://sp7.yousee.com/Landers/lander_6/**********?q=%Nummer%




Es wird versucht folgende Datei auszufhren:

Dateiname:
   • %WINDIR%\syste

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%ausgefhrte Datei%"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "person"="%SYSDIR%\into.exe"

 Hintertr Die folgenden Ports werden geffnet:

sam5.mom**********.com am UDP Port 5051
sam2.123**********.com am UDP Port 5051

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\wmimgr32.dll

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 23. Juli 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 30. Juli 2010

zurück . . . .