Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Taterf.D.176
Entdeckt am:15/06/2011
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Dateigre:306.688 Bytes
MD5 Prfsumme:1D5A2A898AB834BBD6BAFF2DFAC69DFD
VDF Version:7.11.09.199 - Mittwoch, 15. Juni 2011
IVDF Version:7.11.09.199 - Mittwoch, 15. Juni 2011

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Agent2.dolr
   •  TrendMicro: TROJ_ONLING.WPG
   •  Sophos: Mal/Taterf-D
     Avast: Win32:Frecod [Trj]
     Microsoft: Worm:Win32/Taterf.D


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\v3avast.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • www.baidutrg.**********/1hg/ah1.rar
Diese wird lokal gespeichert unter: %SYSDIR%\v3avie0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Die URL ist folgende:
   • www.baidumls.**********/1hg/ah.rar
Diese wird lokal gespeichert unter: %SYSDIR%\v3avmn0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "V3_reg"="%SYSDIR%\v3avast.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "DNA_reg"="%SYSDIR%\dnav3.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Classes\CLSID\
   {6EB54244-231D-4ED0-8518-3A50F06096A3}]
   • @="IEHlprObj Class"

[HKLM\SOFTWARE\Classes\CLSID\{6EB54244-231D-4ED0-8518-3A50F06096A3}\
   VersionIndependentProgID]
   • @="IEHlprObj.IEHlprObj"

[HKLM\SOFTWARE\Classes\CLSID\{6EB54244-231D-4ED0-8518-3A50F06096A3}\
   ProgID]
   • @="IEHlprObj.IEHlprObj.1"

[HKLM\SOFTWARE\Classes\CLSID\{6EB54244-231D-4ED0-8518-3A50F06096A3}\
   InprocServer32]
   • @="%SYSDIR%\dnaie0.dll"
   • "ThreadingModel"="Apartment"

 Diverses Vortuschen einer vertrauenswrdigen Datei:
Sein Prozess gibt vor der folgende vertrauenswrdige Prozess zu sein: v3avast.exe

Die Beschreibung wurde erstellt von Andrei Ilie am Montag, 25. Juli 2011
Die Beschreibung wurde geändert von Andrei Ilie am Montag, 25. Juli 2011

zurück . . . .