Name:TR/Dldr.Zlob.AT.18
Entdeckt am:16/08/2010
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:199.680 Bytes
MD5 Prüfsumme:895fd6a6c3cb2614ced6b8abe7ae9bef
IVDF Version:7.10.10.203 - Dienstag, 17. August 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Heuristic.BehavesLike.Win32.Suspicious.H
   •  F-Secure: Suspicious:W32/Malware!Gemini
   •  Sophos: Mal/FakeAV-CX
   •  Sunbelt: VirTool.Win32.Obfuscator.hg!b
   •  AhnLab: Trojan/Win32.FakeAV
   •  DrWeb: Trojan.DownLoader1.15964


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\Uvehia.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%WINDIR%\Tasks\%CLSID%.job Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\%zufällige Buchstabenkombination%]


Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "Disable Script Debugger"="yes"

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Mittwoch, 18. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Mittwoch, 18. August 2010

zurück . . . .