Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/PSW.Magania.bgme
Entdeckt am:17/06/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:104.476 Bytes
MD5 Prüfsumme:6F7D0987DF91CCD605DD2A5DDD8E2987
IVDF Version:7.01.04.101 - Mittwoch, 17. Juni 2009

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Symantec: W32.Gammima.AG
   •  Kaspersky: Worm.Win32.AutoRun.gbp
   •  TrendMicro: WORM_AUTORUN.DUY
   •  F-Secure: Trojan.PWS.OnLineGames.KCMZ
   •  Bitdefender: Trojan.PWS.OnLineGames.KCMZ
   •  Microsoft: Worm:Win32/Taterf.B
   •  AVG: Worm/AutoRun.GL
   •  PCTools: Worm.AutoRun.gbp
   •  VirusBuster: Worm.Taterf.ACC
   •  Eset: Win32/PSW.OnLineGames.NNU
   •  Sunbelt: Worm.Win32.AutoRun.gbp
   •  GData: Trojan.PWS.OnLineGames.KCMZ
   •  Authentium: W32/Onlinegames.BYF
   •  DrWeb: Trojan.MulDrop.31605
   •  Rising: Trojan.PSW.Win32.GameOnline.eri


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Lädt eine Dateien herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\olhrwef.exe
   • %Laufwerk%\fsaht.cmd



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Dateien werden gelöscht:
   • C:\fsaht.cmd
   • %TEMPDIR%\am1.rar



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\nmdfgds0.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://ngjk34.net/mg/****
Diese wird lokal gespeichert unter: %TEMPDIR%\am1.rar

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\AVPsys]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\drivers\cdaudio.sys
   • "DisplayName"="AVPsys"

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Irina Diaconescu am Dienstag, 2. November 2010
Die Beschreibung wurde geändert von Irina Diaconescu am Montag, 8. November 2010

zurück . . . .