Vollständige Virenbeschreibung

Name:	TR/Scar.bzst
Entdeckt am:	02/05/2010
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	80.982 Bytes
MD5 Prüfsumme:	ca6eaac619a5538bc88969426cce35ea
IVDF Version:	7.10.07.17 - Sonntag, 2. Mai 2010

General Verbreitungsmethode:
   • Autorun Dateien

Aliases:
   • Bitdefender: Trojan.Agent.WDCR
   • Panda: Trj/Scar.J
   • Eset: Win32/AutoRun.IRCBot.EM

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\Application Data\svchosts.exe
   • %Laufwerk%\SYSTEM.EXE
   • %HOME%\Application Data\rssms32.exe

Es wird folgende Datei erstellt:

– %Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%

– Dateiname:
   • "%HOME%\Application Data\svchosts.exe"

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Corp"="%HOME%\Application Data\svchosts.exe"

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Neuer Wert:
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   Neuer Wert:
   • "winlogon"="%HOME%\Application Data\svchosts.exe"

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: tox**********.info
Port: 45351
Channel: #RogUe#
Nickname: {USA}{XP}{00}%Nummer%

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 6. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. August 2010

zurück . . . .