Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Taterf.D.199
Entdeckt am:24/06/2011
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:206.848 Bytes
MD5 Prfsumme:A81D74DD8169AC1EB0155AA652575525
VDF Version:7.11.10.84 - Freitag, 24. Juni 2011
IVDF Version:7.11.10.84 - Freitag, 24. Juni 2011

 Allgemein Aliases:
   •  Kaspersky: Trojan.Win32.Agent2.doxm
   •  TrendMicro: Mal_Hiloti-2
     Microsoft: Worm:Win32/Taterf.D


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • nderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\arking.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://www.**********dupxc.com/1mg/am.rar
Diese wird lokal gespeichert unter: %SYSDIR%\arking0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Die URL ist folgende:
   • http://www.**********duccf.com/1mg/am1.rar
Diese wird lokal gespeichert unter: %SYSDIR%\arking1.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "King_ar"="%SYSDIR%\arking.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="ghvudq.q"

 Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • FilMsg
   • Twister
   • preupd
   • BitDefender
   • AVP.EXE
   • AVGNT
   • avast


 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgenden Laufzeitpackern gepackt:
   • PolyEnE
   • UPX
   • ASPack

Die Beschreibung wurde erstellt von Andrei Ilie am Dienstag, 25. Oktober 2011
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 28. Oktober 2011

zurück . . . .