Name:TR/Dldr.Zbot.AT.17
Entdeckt am:16/08/2010
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:191.488 Bytes
MD5 Prüfsumme:2d1be3ed44f7360C8a63c0bffb6e4100
IVDF Version:7.10.10.203 - Dienstag, 17. August 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Heuristic.BehavesLike.Win32.Spyware.H
   •  F-Secure: Suspicious:W32/Malware!Gemini
   •  Sophos: Mal/FakeAV-CX
   •  Sunbelt: VirTool.Win32.Obfuscator.hg!b
   •  AhnLab: Trojan/Win32.FakeAV
   •  Ikarus: Trojan-Downloader.Win32.CodecPack


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%WINDIR%\Tasks\%CLSID%.job Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%aktuelles Verzeichnis%\%ausgeführte Datei%"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\XML]
– [HKCU\Software\Microsoft\MediaPlayer\Health]
– [HKCU\Software\Microsoft\MediaPlayer\Health\%CLSID%]
– [HKCU\Software\%zufällige Buchstabenkombination%]
   • "UhuH"="%zufällige Buchstabenkombination%"
   • "UhuS"="%zufällige Buchstabenkombination%"
   • "UdiH"=dword:01cabc4b
   • "UdiB"=dword:506b2a50
   • "Udi0"=dword:00000001

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Mittwoch, 18. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Mittwoch, 18. August 2010

zurück . . . .