Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Scar.bzst
Entdeckt am:02/05/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:80.982 Bytes
MD5 Prüfsumme:ca6eaac619a5538bc88969426cce35ea
IVDF Version:7.10.07.17 - Sonntag, 2. Mai 2010

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Bitdefender: Trojan.Agent.WDCR
   •  Panda: Trj/Scar.J
   •  Eset: Win32/AutoRun.IRCBot.EM


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\Application Data\svchosts.exe
   • %Laufwerk%\SYSTEM.EXE
   • %HOME%\Application Data\rssms32.exe



Es wird folgende Datei erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%


– Dateiname:
   • "%HOME%\Application Data\svchosts.exe"

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Neuer Wert:
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   Neuer Wert:
   • "winlogon"="%HOME%\Application Data\svchosts.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: tox**********.info
Port: 45351
Channel: #RogUe#
Nickname: {USA}{XP}{00}%Nummer%

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 6. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. August 2010

zurück . . . .