Name:TR/FakeAV.HA
Entdeckt am:03/08/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:1.038.336 Bytes
MD5 Prüfsumme:906bc9c22115fb13a42130d07ca87c4b
IVDF Version:7.10.10.48 - Dienstag, 3. August 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Informiert den Anwender über angebliche Infektionen oder Probleme des Betriebssystems und bietet Lösung durch Kauf der Anwendung an.
   • Änderung an der Registry


Nach Aktivierung werden folgende Informationen angezeigt:



 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Local Settings\Application Data\%achtstellige zufällige Buchstabenkombination%.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "%achtstellige zufällige Buchstabenkombination%"=""%HOME%\Local Settings\Application Data\%achtstellige zufällige Buchstabenkombination%.exe" 0 39 "



Folgender Registryschlüssel wird geändert:

– [HKLM\Software\Microsoft\DirectDraw\MostRecentApplication]
   Alter Wert:
   • "Name"="%leer%"
   • "ID"=dword:%leer%
   Neuer Wert:
   • "Name"="%achtstellige zufällige Buchstabenkombination%.exe"
   • "ID"=dword:42a8a934

Die Beschreibung wurde erstellt von Patrick Schoenherr am Dienstag, 3. August 2010
Die Beschreibung wurde geändert von Patrick Schoenherr am Dienstag, 3. August 2010

zurück . . . .