Name:TR/Renos.AT
Entdeckt am:01/09/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:311.808 Bytes
MD5 Prüfsumme:d86103fb5da2e507baab755cf1e2d4a4
IVDF Version:7.10.11.68 - Mittwoch, 1. September 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Downloader-CEW.b
   •  Kaspersky: Trojan.Win32.FraudPack.biad
   •  F-Secure: W32/Malware!Gemini
   •  Sophos: Mal/FakeAV-CX
   •  PCTools: Trojan.FakeAV
   •  Eset: Win32/TrojanDownloader.FakeAlert.AVU
   •  Sunbelt: VirTool.Win32.Obfuscator.hg!b
   •  AhnLab: Win-Trojan/Fakeav.311808.S
   •  DrWeb: Trojan.MulDrop1.15267


Betriebsysteme:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\sshnas21.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Renos.AB.4

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Handle]
   • "%zufällige Buchstabenkombination%"=dword:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]
   • "Type"=dword:%Hex Werte%
   • "Start"=dword:%Hex Werte%
   • "ErrorControl"=dword:%Hex Werte%
   • "ImagePath"=hex(2):%Hex Werte%
   • "DisplayName"="SSHNAS"
   • "ObjectName"="LocalSystem

– [HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters]
   • "ServiceDll"=hex(2):%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Security]
   • "Security"=hex:%Hex Werte%



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Neuer Wert:
   • "netsvcs"=hex(7):%Hex Werte%

Die Beschreibung wurde erstellt von Christoph Baumann am Donnerstag, 2. September 2010
Die Beschreibung wurde geändert von Christoph Baumann am Freitag, 3. September 2010

zurück . . . .