Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Rimod.A.255
Entdeckt am:12/07/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:175.616 Bytes
MD5 Prfsumme:3C244D2FA504E645C4C71139A6146425
VDF Version:7.11.11.93 - Dienstag, 12. Juli 2011
IVDF Version:7.11.11.93 - Dienstag, 12. Juli 2011

 Allgemein Verbreitungsmethode:
    Messenger


Aliases:
   •  Kaspersky: Backdoor.Win32.Ruskill.kz
     Microsoft: Trojan:Win32/Rimod


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\J-93219-1923-12901\msnmsg32.exe

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Mobile Device Service"="%APPDATA%\J-93219-1923-12901\msnmsg32.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\J-93219-1923-12901\msnmsg32.exe"="%APPDATA%\J-93219-1923-12901\msnmsg32.exe:*:Enabled:Mobile
      Device Service"

 Messenger Es verbreitet sich ber Messenger. Die Charakteristiken sind folgende:

 Yahoo Messenger


Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • hauska kuva!!! %link%
     !! haha wow %link%
     Burada komik bak!! %link%
     ceea ce o imagine nebun wow haha %link%
     du ser fint her! woww %link%
     haha omg crazy %link%
     hahahah nice billede :) %link%
     hahahahahaha!!!woww %link%
     hahahahahahahahaahahahahhaha %link%
     kijken naar wow hah %link%
     pogledaj ove slike!! %link%
     poglej to fotografijo!!! %link%
     pozrite sa na tto fotografi wow %link%
     r en rolig bild %link%
     sei bella in questa foto!! %link%
     te ves hermosa aqus belle photo! heheh %link%
     ten pic jest zabawne! hah %link%
     wer hat dieses Bild? wow %link%
     you look so weird in this pic!!! %link%

 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu berprfen:
   • albertoshistory.info; ale.pakibili.com; astro.ic.ac.uk;
      ate.lacoctelera.net; beta.neogen.ro; browseusers.myspace.com;
      crl.microsoft.com; deirdremccloskey.org; ds.phoenix-cc.net;
      epp.gunmablog.jp; erdbeerlounge.de; goodreads.com; heidegger.x-y.net;
      hrm.uh.edu; insidehighered.com; jb.asm.org; journalofaccountancy.com;
      journals.lww.com; mas.0730ip.com; mas.ahlamontada.com;
      mas.archivum.info; mas.josbank.com; mas.juegosbakugan.net;
      mas.mtime.com; mas.tguia.cl; mas.univie.ac.at; mcsp.lvengine.com;
      middleastpost.org; mix.price-erotske.in.rs; mix.thenaturistclub.com;
      mmm.bolbalatrust.org; old.longjuyt2tugas.com; old.youku.com;
      ols.systemofadown.com; ope.oaklandathletics.com; opl.munin.irf.se;
      pra.aps.org; pru.landmines.org; qun.51.com; refugee-action.org.uk;
      screenservice.com; scribbidyscrubs.com; shopstyle.com;
      southampton.ac.uk; stayontime.info; summer-uni-sw.eesp.ch;
      transnationale.org; tripadvisor.com; uks.linkedin.com; unclefed.com;
      versatek.com; websitetrafficspy.com; www.myspace.com;
      www.shearman.com; x.myspacecdn.com; xxx.jagdcom.de; xxx.stopklatka.pl

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Ilie am Freitag, 30. September 2011
Die Beschreibung wurde geändert von Andrei Ilie am Freitag, 30. September 2011

zurück . . . .