Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/FakeAV.oke
Entdeckt am:06/12/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:445.576 Bytes
MD5 Prfsumme:7a14060028698e2a2c5c64eb262c6868
VDF Version:7.11.19.02 - Dienstag, 6. Dezember 2011
IVDF Version:7.11.19.02 - Dienstag, 6. Dezember 2011

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Jorik.Fraud.jor
   •  Eset: Win32/Kryptik.WTQ


Betriebsysteme:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Ldt eine Dateien herunter
   • Ldt eine schdliche Dateien herunter
    Informiert den Anwender ber angebliche Infektionen oder Probleme des Betriebssystems und bietet Lsung durch Kauf der Anwendung an.
   • nderung an der Registry


Nach Aktivierung werden folgende Informationen angezeigt:



 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\gPtgkqBGrot.exe
Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.



Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://danelubinnalas.com/?ylO**********
Diese wird lokal gespeichert unter: %TEMPDIR%\%zufllige Buchstabenkombination%.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.XPACK.Gen

 Registry Folgende Registryschlssel werden hinzugefgt:

[HKCU\Control Panel]
   • "nsreg"="dword:0x4ee4fbe1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Start_ShowControlPanel"="dword:0x00000000"
   • "Start_ShowHelp"="dword:0x00000000"
   • "Start_ShowMyComputer"="dword:0x00000000"
   • "Start_ShowMyDocs"="dword:0x00000000"
   • "Start_ShowMyGames"="dword:0x00000000"
   • "Start_ShowMyMusic"="dword:0x00000000"
   • "Start_ShowMyPics"="dword:0x00000000"
   • "Start_ShowNetConn"="dword:0x00000000"
   • "Start_ShowNetPlaces"="dword:0x00000000"
   • "Start_ShowPrinters"="dword:0x00000000"
   • "Start_ShowRecentDocs"="dword:0x00000000"
   • "Start_ShowRun"="dword:0x00000000"
   • "Start_ShowSearch"="dword:0x00000000"
   • "Start_ShowSetProgramAccessAndDefaults"="dword:0x00000000"
   • "Start_ShowUser"="dword:0x00000000"
   • "TaskbarGlomLevel"="dword:0x00000002"
   • "TaskbarGlomming"="dword:0x00000000"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "EnableAutoTray"="dword:0x00000000"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband]
   • ""=""
   • "_Favorites"=""

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • ""=""
   • "HidNoChangingWallPaperden"="dword:0x00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • ""=""
   • "LowRiskFileTypess"=".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Attachments]
   • ""=""
   • "SaveZoneInformation"="dword:0x00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"="dword:0x00000001"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • ""=""
   • "DisableTaskMgr"="dword:0x00000001"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableTaskMgr"="dword:0x00000001"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "gPtgkqBGrot.exe"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gPtgkqBGrot.exe"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\
   Control Panel]
   • "5761b2dc-ce77-4bfa-b965-6f33b1867cf2"=""
   • "7f6b3266-31c5-43a8-9547-e7911ad6fb33"=""
   • "nsreg"="dword:0x4ee4fbe1"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Start_ShowControlPanel"="dword:0x00000000"
   • "Start_ShowHelp"="dword:0x00000000"
   • "Start_ShowMyComputer"="dword:0x00000000"
   • "Start_ShowMyDocs"="dword:0x00000000"
   • "Start_ShowMyGames"="dword:0x00000000"
   • "Start_ShowMyMusic"="dword:0x00000000"
   • "Start_ShowMyPics"="dword:0x00000000"
   • "Start_ShowNetConn"="dword:0x00000000"
   • "Start_ShowNetPlaces"="dword:0x00000000"
   • "Start_ShowPrinters"="dword:0x00000000"
   • "Start_ShowRecentDocs"="dword:0x00000000"
   • "Start_ShowRun"="dword:0x00000000"
   • "Start_ShowSearch"="dword:0x00000000"
   • "Start_ShowSetProgramAccessAndDefaults"="dword:0x00000000"
   • "Start_ShowUser"="dword:0x00000000"
   • "TaskbarGlomLevel"="dword:0x00000002"
   • "TaskbarGlomming"="dword:0x00000000"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer]
   • "EnableAutoTray"="dword:0x00000000"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer\Taskband]
   • ""=""
   • "_Favorites"=""

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
   • ""=""
   • "HidNoChangingWallPaperden"="dword:0x00000001"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\Associations]
   • ""=""
   • "LowRiskFileTypess"=".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\Attachments]
   • ""=""
   • "SaveZoneInformation"="dword:0x00000001"
   •

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDesktop"="dword:0x00000001"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Policies\System]
   • ""=""
   • "DisableTaskMgr"="dword:0x00000001"



Folgende Registryschlssel werden gendert:

[HKCU\Software\Microsoft\Internet Explorer\Download]
   Alter Wert:
   • "CheckExeSignatures"="yes"
   Neuer Wert:
   • "CheckExeSignatures"="no"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"="dword:0x00000001"
   Neuer Wert:
   • "Hidden"="dword:0x00000000"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Internet Explorer\Download]
   Alter Wert:
   • "CheckExeSignatures"="yes"
   Neuer Wert:
   • "CheckExeSignatures"="no"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"="dword:0x00000001"
   Neuer Wert:
   • "Hidden"="dword:0x00000000"
   Neuer Wert:
   • "Order"="hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00"
   Alter Wert:
   • "Favorites"="hex:00,16,00,00,00,14,00,1f,80,f4,a1,59,25,d7,21,d4,11,bd,af,00,c0,\
   • ,4f,60,b9,f0,00,00,00,16,00,00,00,14,00,1f,80,f5,a1,59,25,d7,\
   • ,21,d4,11,bd,af,00,c0,4f,60,b9,f0,00,00,ff"

[HKEY_USERS\S-1-5-21-606747145-1647877149-1801674531-500\Software\
   Microsoft\Windows\CurrentVersion\Explorer\StartPage]
   Alter Wert:
   • "StartMenu_Balloon_Time"="hex:3a,3c,36,65,63,bd,cb,01"
   Neuer Wert:
   • "StartMenu_Balloon_Time"="hex:68,b1,42,69,36,b8,cc,01"

 Prozess Beendigung Folgender Prozess wird beendet:
   • %alle laufenden Prozesse%


 Diverses Greift auf Internetressourcen zu:
   • http://stepinstoneuse.com/**********.php?0Q9**********
   • http://danelubinnalas.com/?ylO**********

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Martin Muench am Freitag, 9. Dezember 2011
Die Beschreibung wurde geändert von Martin Muench am Dienstag, 20. Dezember 2011

zurück . . . .