Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/FakeSysdef.A.868
Entdeckt am:24/05/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:334.336 Bytes
MD5 Prüfsumme:20DE5ECFBD8CEB32A0AB42F124B651EC
VDF Version:7.11.08.126 - Dienstag, 24. Mai 2011
IVDF Version:7.11.08.126 - Dienstag, 24. Mai 2011

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  TrendMicro: TROJ_FAKEAV.SM29
   •  Sophos: Mal/FakeAV-EA
   •  Microsoft: Trojan:Win32/FakeSysdef


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Informiert den Anwender über angebliche Infektionen oder Probleme des Betriebssystems und bietet Lösung durch Kauf der Anwendung an.
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Preisfallenfunktion – der Benutzer wird dazu gebracht, ein teures Abonnement abzuschließen.


Nach Aktivierung werden folgende Informationen angezeigt:





 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %ALLUSERSPROFILE%\Application Data\%zufällige Buchstabenkombination%.exe



Folgende Dateien werden umbenannt:

    •  %ALLUSERSPROFILE%\Start Menu\%alle Unterverzeichnisse% nach %TEMPDIR%\smtmp\1\*
    •  %APPDATA%\Microsoft\Internet Explorer\Quick Launch\* nach %TEMPDIR%\smtmp\2\*



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

– %ALLUSERSPROFILE%\Application Data\%Nummer%.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/FakeSysdef.A.1023

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%ALLUSERSPROFILE%\Application Data\%zufällige Buchstabenkombination%.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableTaskMgr"=dword:0000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

– [HKCU\Software]
   • "75fa38b7-8b94-4995-ad32-52e938867954"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"="/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"

 Diverses Greift auf Internetressourcen zu:
   • http://**********dconsonant.org/pica1/531-direct
   • http://**********rchafternoon.org/404.php?type=stats&affid=531&subid=03&awok
   • http://**********rchbottle.org/pica1/531-direct
   • http://**********dconsonant.org/pica1/516-direct
   • http://**********rchafternoon.org/404.php?type=stats&affid=516&subid=02&awok
   • http://**********rchbottle.org/pica1/516-direct


Mutex:
Es wird folgender Mutex erzeugt:
   • 86e8a495-357c-437c-b6e9-13e757bfabab

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ilie am Freitag, 26. August 2011
Die Beschreibung wurde geändert von Andrei Ilie am Donnerstag, 1. September 2011

zurück . . . .