Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Sisron.A.664
Entdeckt am:21/06/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:17.408 Bytes
MD5 Prfsumme:08a607c85c5b110240ba3e8b4602a78e
VDF Version:7.11.10.61 - Dienstag, 21. Juni 2011
IVDF Version:7.11.10.61 - Dienstag, 21. Juni 2011

 Allgemein Verbreitungsmethoden:
    Messenger
   • Peer to Peer


Aliases:
   •  Kaspersky: Trojan-GameThief.Win32.OnLineGames.vst
   •  Bitdefender: Trojan.Agent.ARUP
     GData: Trojan.Agent.ARUP
     DrWeb: Trojan.Siggen2.36724


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\runddl32.exe

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winsock startup"="runddl32.exe"

 P2P Es wird nach folgenden Verzeichnissen gesucht:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • DivX 5.0 Pro KeyGen.exe CSS Hack.exeFree POrn.exeporn lots of
      pics.exeFree cs hacks.exechild porn.exehack msn.exehow to
      hack.exehardcore XXX porn.exesims full.exeall sims games.exeLimeWire
      Pro.exebearshare full version.exesteam crack.exekeygen.exebf2
      full.exebf2 keygen.execsshack.exe; Counter-Strike KeyGen.exe; IP
      Nuker.exe; Website Hacker.exe; Keylogger.exe; AOL Password
      Cracker.exe; ICQ Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe;
      MSN Password Cracker.exe; Microsoft Visual Studio KeyGen.exe;
      Microsoft Visual Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe;
      Sub7 2.3 Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows
      Password Cracker.exe; Windows Password Cracker.exe; NetBIOS
      Cracker.exe; NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus
      2005 Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe;
      Brutus FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe;
      Half-Life 2 Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced
      Server KeyGen.exe


 Messenger Es verbreitet sich ber Messenger. Die Charakteristiken sind folgende:

 Windows Messenger

Die URL verweit auf eine Kopie der beschriebenen Malware. Ld der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • asdfgh45gf

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 20. Juli 2011
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 20. Juli 2011

zurück . . . .