Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/FakeSysdef.A.873
Entdeckt am:25/05/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:478.720 Bytes
MD5 Prfsumme:5AA0177803695290BCA22BCE79802845
VDF Version:7.11.08.127 - Mittwoch, 25. Mai 2011
IVDF Version:7.11.08.127 - Mittwoch, 25. Mai 2011

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  TrendMicro: TROJ_KRYPTO.SMIN
   •  Sophos: Mal/FakeAV-LS
     Microsoft: Trojan:Win32/FakeSysdef


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt Dateien
    Informiert den Anwender ber angebliche Infektionen oder Probleme des Betriebssystems und bietet Lsung durch Kauf der Anwendung an.
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry
   • Preisfallenfunktion der Benutzer wird dazu gebracht, ein teures Abonnement abzuschlieen.


Nach Aktivierung werden folgende Informationen angezeigt:





 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %ALLUSERSPROFILE%\Application Data\%zufllige Buchstabenkombination%.exe



Folgende Dateien werden umbenannt:

      %ALLUSERSPROFILE%\Start Menu\%alle Unterverzeichnisse% nach %TEMPDIR%\smtmp\1\*
      %APPDATA%\Microsoft\Internet Explorer\Quick Launch\* nach %TEMPDIR%\smtmp\2\*



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Es wird folgende Datei erstellt:

%ALLUSERSPROFILE%\Application Data\%Nummer%.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/FakeSysdef.A.1023

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufllige Buchstabenkombination%"="%ALLUSERSPROFILE%\Application Data\%zufllige Buchstabenkombination%.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableTaskMgr"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableTaskMgr"=dword:0000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "ShowSuperHidden"=dword:00000000
   • "Hidden"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

[HKCU\Software]
   • "75fa38b7-8b94-4995-ad32-52e938867954"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallPaper"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"="/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:"

 Diverses Greift auf Internetressourcen zu:
   • http://**********ckfer.org/pica1/531-direct
   • http://**********dconsonant.org/pica1/516-direct
   • http://**********rchafternoon.org/404.php?type=stats&affid=516&subid=02&awok
   • http://**********rchbeen.org/404.php?type=stats&affid=531&subid=02&awok
   • http://**********rchbottle.org/pica1/516-direct
   • http://**********rchbowl.org/pica1/531-direct


Mutex:
Es wird folgender Mutex erzeugt:
   • 86e8a495-357c-437c-b6e9-13e757bfabab

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ilie am Freitag, 26. August 2011
Die Beschreibung wurde geändert von Andrei Ilie am Donnerstag, 1. September 2011

zurück . . . .