Vollständige Virenbeschreibung

Name:	TR/Spy.Agent.144896
Entdeckt am:	28/07/2010
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Hoch
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel bis hoch
Statische Datei:	Ja
Dateigröße:	144.896 Bytes
MD5 Prüfsumme:	d3de1f75b8151c284ab04819994c0Dc9
IVDF Version:	7.10.09.249 - Mittwoch, 28. Juli 2010

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Downloader.MisleadApp
   • Kaspersky: Trojan.Win32.FraudPack.bcet
   • TrendMicro: TROJ_FAKEAV.SMXG
   • F-Secure: Trojan:W32/Cosmu.Z
   • Sophos: Mal/Behav-321
   • Bitdefender: Trojan.Downloader.FakeAlert.FN
   • Microsoft: TrojanDownloader:Win32/FakeRean
   • AVG: Crypt.YBS
   • Panda: Adware/DesktopSecurity2010
   • PCTools: Downloader.MisleadApp
   • VirusBuster: Trojan.Bredolab.DDF
   • Eset: Win32/TrojanDownloader.FakeAlert.BAT
   • GData: Trojan.Downloader.FakeAlert.FN
   • AhnLab: Win-Trojan/Fakeav.144896.G
   • Authentium: W32/Trojan3.BWP
   • DrWeb: Trojan.DownLoad1.64194
   • Fortinet: W32/Agent.AEB5!tr.dldr
   • Ikarus: Trojan.Win32.FakeAV

Betriebsysteme:
   • Windows 98
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

Auswirkungen:
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %PROGRAM FILES%\MSN\MSNCoreFiles\Setup\MSNUNINCommunications.exe
   • %PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe
   • %PROGRAM FILES%\Windows Media Player\MicrosoftRPlayer9.00.00.3250.exe
   • %PROGRAM FILES%\MSN\MSNCoreFiles\msnmetalupdate.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.ex
   • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\1036\ApplicationReporting.exe

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\qas1.tmp
   • %TEMPDIR%\qas2.tmp
   • %TEMPDIR%\qas3.tmp
   • %TEMPDIR%\qas4.tmp
   • %TEMPDIR%\qas5.tmp

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"
   • "KernelFaultCheck"="%systemroot%\system32\dumprep 0 -k"
   • "MicrosoftMicrosoft"="%PROGRAM FILES%\Common Files\Microsoft Shared\DAO\MicrosoftMicrosoft.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"
   • "UpdateRegUtils"="%PROGRAM FILES%\Common Files\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_11.b03\PlatformEdition.exe"

– [HKLM\SOFTWARE\Microsoft\MediaPlayer\Setup\Files]
   • "1"=%Hex Werte%
   • "2"=%Hex Werte%
   • "3"=%Hex Werte%
   • "4"=%Hex Werte%

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Donnerstag, 12. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Donnerstag, 12. August 2010

zurück . . . .