Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Deedon.A
Entdeckt am:10/06/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Dateigre:538.624 Bytes
MD5 Prfsumme:5E510AA7FB77DA2C6EA7230D38FC524B
VDF Version:7.11.09.137 - Freitag, 10. Juni 2011
IVDF Version:7.11.09.137 - Freitag, 10. Juni 2011

 Allgemein Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  TrendMicro: WORM_AUTORUN.IW
   •  Bitdefender: Trojan.Autorun.AZQ
     Microsoft: Worm:Win32/Autorun.ACV


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Erstellt Dateien
   • nderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Laufwerk%\%ausgefhrte Datei%



Die folgende Datei wird gendert:
   • "%APPDATA%\Mozilla\Firefox\Profiles\%Zeichenfolge%.default\prefs.js"
Als Folge werden verschiedene Sicherheitsmechanismen deaktiviert.



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Verzeichnis in dem die Malware ausgefhrt wurde%\auto.bat Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BAT/Deedon.A

 Registry Folgender Registryschlssel wird gendert:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "EnableHttp1_1"=dword:00000001
   • "ProxyHttp1.1"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "AutoConfigURL"="http://www.descadastramento.**********/seguranca.pac"

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Ilie am Donnerstag, 28. Juli 2011
Die Beschreibung wurde geändert von Andrei Ilie am Donnerstag, 4. August 2011

zurück . . . .