Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Drop.Agent.GH
Entdeckt am:02/03/2006
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:180.224 Bytes
MD5 Prüfsumme:066e35aed18f9a36a8bc18cff3a87333
VDF Version:6.33.01.51
IVDF Version:6.33.01.52 - Freitag, 3. März 2006

 Allgemein Verbreitungsmethoden:
   • Autorun Dateien
   • Gemappte Netzlaufwerke


Aliases:
   •  Symantec: W32.Gammima.AG
   •  Kaspersky: Worm.Win32.AutoRun.bqls
   •  TrendMicro: TSPY_ONLINEG.QLM
   •  Panda: W32/Lineage.LNY.worm

Die Datei funktioniert abhängig von diesen Komponenten:
   •  TR/GameThief.B


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %tempdir%\apiqq.exe
   • %Laufwerk%\lpl.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %tempdir%\apiqq0.dll Erkannt als: TR/GameThief.B

 Registry Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • "CheckedValue"=dword:00000000

 Diebstahl Es wird versucht folgende Information zu klauen:

– Das Passwort des Programmes:
   • Dofus

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • ASPack

Die Beschreibung wurde erstellt von Andrei Ilie am Mittwoch, 2. Februar 2011
Die Beschreibung wurde geändert von Andrei Ilie am Dienstag, 15. Februar 2011

zurück . . . .