Name:TR/Hosts.AQ.1
Entdeckt am:09/08/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:2.724.864 Bytes
MD5 Prüfsumme:575cb9dd8434d2e074ba24a63ac51b25
IVDF Version:7.10.10.121 - Montag, 9. August 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.efqa
   •  Sophos: Mal/FakeAV-EA
   •  Avast: Win32:Crypt-HFP
   •  Microsoft: Trojan:Win32/FakeVimes
   •  Panda: Adware/MySecurityShield
   •  Eset: Win32/Kryptik.FWJ
   •  GData: Win32:Crypt-HFP
   •  AhnLab: Win-Trojan/Fakeav.2724864
   •  DrWeb: Trojan.FakeSecure.15
   •  Ikarus: Trojan.Win32.FakeVimes


Betriebsysteme:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt schädliche Dateien
   • Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Die folgende Datei wird geändert:
   • %SYSDIR%\drivers\etc\hosts



Die folgende Datei wird kopiert:
    •  %SYSDIR%\drivers\etc\hosts nach %SYSDIR%\drivers\etc\hosts_new



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– %ALLUSERSPROFILE%\Application Data\%zufällig ausgewähltes Verzeichnis%\%zufällige Buchstabenkombination%.cfg Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.
%SYSDIR%\drivers\etc\hosts_new

 Registry Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Internet Explorer]
   Neuer Wert:
   • "IIL"=-
   • "ltHI"=-
   • "ltTST"=-
   • "PRS"=-
   • "BID"=-

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains werden auf andere Ziele umgeleitet:
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Freitag, 13. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Freitag, 13. August 2010

zurück . . . .