Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Taterf.D.185
Entdeckt am:17/06/2011
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:193.536 Bytes
MD5 Prüfsumme:AA47E03548E63258D9CE4120998882EC
VDF Version:7.11.09.255 - Freitag, 17. Juni 2011
IVDF Version:7.11.09.255 - Freitag, 17. Juni 2011

 Allgemein Aliases:
   •  Kaspersky: Trojan.Win32.Vaklik.lpl
   •  Microsoft: Worm:Win32/Taterf.D


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\jpking.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • www.**********duywe.com/1rb/ar.rar
Diese wird lokal gespeichert unter: %SYSDIR%\jpking0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • www.**********dutrg.com/1rb/ar1.rar
Diese wird lokal gespeichert unter: %SYSDIR%\jpking1.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "king_jp"="%SYSDIR%\jpking.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="kghcd.z"

 Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • FilMsg
   • Twister
   • preupd
   • BitDefender
   • AVP.EXE
   • AVGNT
   • avast


 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgenden Laufzeitpackern gepackt:
   • PolyEnE
   • UPX
   • ASPack

Die Beschreibung wurde erstellt von Andrei Ilie am Freitag, 30. September 2011
Die Beschreibung wurde geändert von Andrei Ilie am Freitag, 30. September 2011

zurück . . . .