Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Sisron.A.664
Entdeckt am:21/06/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:17.408 Bytes
MD5 Prüfsumme:08a607c85c5b110240ba3e8b4602a78e
VDF Version:7.11.10.61 - Dienstag, 21. Juni 2011
IVDF Version:7.11.10.61 - Dienstag, 21. Juni 2011

 Allgemein Verbreitungsmethoden:
   • Messenger
   • Peer to Peer


Aliases:
   •  Kaspersky: Trojan-GameThief.Win32.OnLineGames.vst
   •  Bitdefender: Trojan.Agent.ARUP
   •  GData: Trojan.Agent.ARUP
   •  DrWeb: Trojan.Siggen2.36724


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\runddl32.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "winsock startup"="runddl32.exe"

 P2P Es wird nach folgenden Verzeichnissen gesucht:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • DivX 5.0 Pro KeyGen.exe CSS Hack.exeFree POrn.exeporn lots of
      pics.exeFree cs hacks.exechild porn.exehack msn.exehow to
      hack.exehardcore XXX porn.exesims full.exeall sims games.exeLimeWire
      Pro.exebearshare full version.exesteam crack.exekeygen.exebf2
      full.exebf2 keygen.execsshack.exe; Counter-Strike KeyGen.exe; IP
      Nuker.exe; Website Hacker.exe; Keylogger.exe; AOL Password
      Cracker.exe; ICQ Hacker.exe; AOL Instant Messenger (AIM) Hacker.exe;
      MSN Password Cracker.exe; Microsoft Visual Studio KeyGen.exe;
      Microsoft Visual Basic KeyGen.exe; Microsoft Visual C++ KeyGen.exe;
      Sub7 2.3 Private.exe; sdbot with NetBIOS Spread.exe; L0pht 4.0 Windows
      Password Cracker.exe; Windows Password Cracker.exe; NetBIOS
      Cracker.exe; NetBIOS Hacker.exe; DCOM Exploit.exe; Norton Anti-Virus
      2005 Enterprise Crack.exe; Hotmail Cracker.exe; Hotmail Hacker.exe;
      Brutus FTP Cracker.exe; FTP Cracker.exe; Password Cracker.exe;
      Half-Life 2 Downloader.exe; UT 2003 KeyGen.exe; Windows 2003 Advanced
      Server KeyGen.exe


 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Messenger

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • asdfgh45gf

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 20. Juli 2011
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 20. Juli 2011

zurück . . . .