Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Reveton.A.153
Entdeckt am:11/01/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigre:210.432 Bytes
MD5 Prfsumme:056AB8CB1536D2282D77F828A6EDDFDE
VDF Version:7.11.20.228 - Mittwoch, 11. Januar 2012
IVDF Version:7.11.20.228 - Mittwoch, 11. Januar 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
     Microsoft: Trojan:Win32/Reveton.A
   •  Grisoft: PSW.Agent.ASJL


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Ldt eine Dateien herunter
    Informiert den Anwender ber angebliche Infektionen oder Probleme des Betriebssystems und bietet Lsung durch Kauf der Anwendung an.
   • nderung an der Registry

 Dateien Es wird folgende Datei erstellt:

Nicht virulente Datei:
   •  %HOME%\Startmen\Programme\Autostart\virus.dll.lnk

 Registry Folgende Registryschlssel werden gendert:

Deaktivieren von Regedit und Task Manager:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • "DisableTaskMgr"=dword:00000001

Verringert die Sicherheitseinstellungen des Internet Explorers:

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "NoProtectedModeBanner"=dword:00000001

Verringert die Sicherheitseinstellungen des Internet Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
   {E19ADC6E-3909-43E4-9A89-B7B676377EE3}\iexplore]
   Neuer Wert:
   • "Type"=dword:00000004
   • "Count"=dword:00000007
   • "Time"=hex:db,07,09,00,02,00,06,00,09,00,35,00,01,00,38,01

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
   {E2E2DD38-D088-4134-82B7-F2BA38496583}\iexplore]
   Neuer Wert:
   • "Type"=dword:00000004
   • "Count"=dword:00000015
   • "Time"=hex:db,07,09,00,02,00,06,00,09,00,35,00,01,00,38,01

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
   {FB5F1910-F110-11D2-BB9E-00C04F795683}\iexplore]
   Neuer Wert:
   • "Type"=dword:00000004
   • "Count"=dword:00000016
   • "Time"=hex:db,07,09,00,02,00,06,00,09,00,35,00,01,00,38,01

 Injektion  Es injiziert sich selbst als Remote-Thread in Prozesse.

    Alle der folgenden Prozesse:
   • notepad.exe
   • iexplorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Jan-Eric Herting am Mittwoch, 18. Januar 2012
Die Beschreibung wurde geändert von Jan-Eric Herting am Mittwoch, 18. Januar 2012

zurück . . . .