Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Rimecud.A.17
Entdeckt am:08/06/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
VDF Version:7.10.03.112
IVDF Version:7.10.08.24 - Dienstag, 8. Juni 2010

 Allgemein Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Kaspersky: P2P-Worm.Win32.Palevo.dekj
   •  Sophos: Mal/Palevo-A
     Microsoft: Trojan:Win32/Rimecud.A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • C:\Documents and Settings\%aktueller Benutzernamen%\aegvvp.exe

 Registry Der folgendeRegistryschlssel wird in einer Endlosschleife fortlaufen hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="C:\Documents and Settings\%aktueller Benutzernamen%\aegvvp.exe"

 Hintertr Mglichkeiten der Fernkontrolle:
     Datei ausfhren
     Besuch einer Webseite

 Injektion     Prozessname:
   • svchost.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • 1jl8+10

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ilie am Mittwoch, 26. Oktober 2011
Die Beschreibung wurde geändert von Andrei Ilie am Montag, 31. Oktober 2011

zurück . . . .