Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Scar.bzst
Entdeckt am:02/05/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:80.982 Bytes
MD5 Prfsumme:ca6eaac619a5538bc88969426cce35ea
IVDF Version:7.10.07.17 - Sonntag, 2. Mai 2010

 General Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Bitdefender: Trojan.Agent.WDCR
   •  Panda: Trj/Scar.J
   •  Eset: Win32/AutoRun.IRCBot.EM


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\Application Data\svchosts.exe
   • %Laufwerk%\SYSTEM.EXE
   • %HOME%\Application Data\rssms32.exe



Es wird folgende Datei erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es versucht folgende Dateien auszufhren:

Dateiname:
   • %Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%


Dateiname:
   • "%HOME%\Application Data\svchosts.exe"

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Neuer Wert:
   • "EnableLUA"=dword:0x00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   Neuer Wert:
   • "winlogon"="%HOME%\Application Data\svchosts.exe"

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: tox**********.info
Port: 45351
Channel: #RogUe#
Nickname: {USA}{XP}{00}%Nummer%

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 6. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. August 2010

zurück . . . .