Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:DR/Setty.O
Entdeckt am:22/12/2010
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:1.963.643 Bytes
MD5 Prfsumme:459dedf5135d8d6eff5a08d62f328f5d
VDF Version:7.10.07.72
IVDF Version:7.11.00.144 - Mittwoch, 22. Dezember 2010

 Allgemein Aliases:
   •  Mcafee: Artemis!459DEDF5135D
   •  Kaspersky: Trojan-Dropper.Win32.StartPage.dvd
     AVG: Generic3_c.BNCJ


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien  Folgende Dateien werden gelscht:
   • %PROGRAM FILES%\prgenerate\is-LGRJ3.tmp
   • %PROGRAM FILES%\prgenerate\is-L45BV.tmp
   • %PROGRAM FILES%\prgenerate\is-Q79BP.tmp



Es werden folgende Dateien erstellt:

%WINDIR%\vistaw7\Config.ini
%WINDIR%\vistaw7\rd.txt
%WINDIR%\Condu.lnk Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%PROGRAM FILES%\prgenerate\unins000.exe
%PROGRAM FILES%\prgenerate\Install.tmp
%WINDIR%\vistaw7\infofile.tmp
%WINDIR%\vistaw7\tuangou.ico
%PROGRAM FILES%\prgenerate\is-Q79BP.tmp
%WINDIR%\vistaw7\canyou.ucan
%PROGRAM FILES%\prgenerate\InstallDll.dll
%PROGRAM FILES%\prgenerate\unins000.dat
%WINDIR%\vistaw7\comrundu.ducc
%WINDIR%\vistaw7\taobao.ico
%PROGRAM FILES%\prgenerate\is-LGRJ3.tmp
%WINDIR%\vistaw7\Install.tmp
%PROGRAM FILES%\prgenerate\is-L45BV.tmp
%WINDIR%\vistaw7\nwinms.inn
%WINDIR%\vistaw7\honst.uic



Es versucht folgende Dateien auszufhren:

Dateiname:
   • "%SYSDIR%\rundll32.exe" "%WINDIR%\vistaw7\comrundu.ducc" frmwind


Dateiname:
   • "%SYSDIR%\rundll32.exe" "%WINDIR%\vistaw7\canyou.ucan" showme1


Dateiname:
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE" -nohome

 Registry Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Classes\uic\Shell\Open\Command]
   • "@"=""Rundll32.exe" "%WINDIR%\vistaw7\nwinms.inn" readfile"

[HKLM\SOFTWARE\Classes\.uic]
   • "@"="uic"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
   {5E8C4B88-9431-4742-BC1F-8D70D7A89402}_is1]
   • "DisplayName"="3.1.0.2"
   • "Inno Setup: App Path"="%PROGRAM FILES%\prgenerate"
   • "Inno Setup: Icon Group"="prgenerate"
   • "Inno Setup: Setup Version"="5.2.3"
   • "Inno Setup: User"="Administrator"
   • "InstallDate"="20110509"
   • "InstallLocation"="%PROGRAM FILES%\prgenerate\"
   • "NoModify"=dword:0x00000001
   • "NoRepair"=dword:0x00000001
   • "QuietUninstallString"=""%PROGRAM FILES%\prgenerate\unins000.exe" /SILENT"
   • "UninstallString"=""%PROGRAM FILES%\prgenerate\unins000.exe""

[HKLM\SOFTWARE\Classes\uic\Shell\Open]
   • "@"=""



Folgende Registryschlssel werden gendert:

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "CompatibilityFlags"=dword:0x00000000
   • "FullScreen"="no"
   • "Window_Placement"=hex:2C,00,00,00,00,00,00,00,01,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,8E,00,00,00,B1,00,00,00,AE,03,00,00,09,03,00,00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones]
   Neuer Wert:
   • "SecuritySafe"=dword:0x00000001

[HKLM\SOFTWARE\Classes\TypeLib\
   {1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Neuer Wert:
   • "@"="oleacc.dll"

 Diverses Greift auf Internetressourcen zu:
   • http://www.34com.com/ppsr/Downsoft/**********
   • http://www.07783.com/ppsr/Downsoft/**********
   • http://www.34com.com:8080/**********?mac=%Zeichenfolge%&id=%Nummer%
   • http://www.szc**********.com/
   • http://www.456t.com/**********

Die Beschreibung wurde erstellt von Petre Galan am Montag, 9. Mai 2011
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. Mai 2011

zurück . . . .