Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Agent.26624
Entdeckt am:19/04/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:53.326 Bytes
MD5 Prüfsumme:1509d6be80685168a70fcfd2b0a71992
VDF Version:6.38.01.07
IVDF Version:6.38.01.09 - Donnerstag, 19. April 2007

 Allgemein Aliases:
   •  Mcafee: W32/YahLover.worm.gen
   •  Sophos: W32/P2Pworm-T
   •  Bitdefender: Win32.Worm.Delf.BF
   •  Panda: W32/BlackHole.AM.worm
   •  Eset: Win32/RussoTuristo


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\Cursors\services.exe
   • C:\Íîâàÿ ïàïêà.exe
   • C:\%alle Verzeichnisse%\%Verzeichnisname%.exe




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %WINDIR%\explorer.exe %Verzeichnis in dem die Malware ausgeführt wurde%\..

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Local Service"="%WINDIR%\Cursors\services.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFolderOptions"=dword:0x00000001



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Neuer Wert:
   • "Locked"=dword:0x00000001

Verschiedenste Einstellungen des Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000000
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 27. Januar 2011
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 27. Januar 2011

zurück . . . .