Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Rimecud.A.17
Entdeckt am:08/06/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
VDF Version:7.10.03.112
IVDF Version:7.10.08.24 - Dienstag, 8. Juni 2010

 Allgemein Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Kaspersky: P2P-Worm.Win32.Palevo.dekj
   •  Sophos: Mal/Palevo-A
   •  Microsoft: Trojan:Win32/Rimecud.A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • C:\Documents and Settings\%aktueller Benutzernamen%\aegvvp.exe

 Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="C:\Documents and Settings\%aktueller Benutzernamen%\aegvvp.exe"

 Hintertür Möglichkeiten der Fernkontrolle:
    • Datei ausführen
    • Besuch einer Webseite

 Injektion     Prozessname:
   • svchost.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • 1jl8+10

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ilie am Mittwoch, 26. Oktober 2011
Die Beschreibung wurde geändert von Andrei Ilie am Montag, 31. Oktober 2011

zurück . . . .