Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Crypt.Gypikon.A.9
Entdeckt am:02/05/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:52.224 Bytes
MD5 Prüfsumme:8950aecc4d90c7cc4c4b8e79b6a96260
VDF Version:7.11.29.20 - Mittwoch, 2. Mai 2012
IVDF Version:7.11.29.20 - Mittwoch, 2. Mai 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Dropper.Win32.Injector.etcf
   •  Sophos: Troj/Bredo-WL
   •  Bitdefender: Trojan.Generic.KDV.608405
   •  Microsoft: Trojan:Win32/Matsnu
   •  Eset: a variant of Win32/Injector.QQN trojan
   •  GData: Trojan.Generic.KDV.608405


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %APPDATA%\Jmndi\7D7C52F4D8812EB11AC8.exe
   • %TEMP%\%zehnstellige zufällige Buchstabenkombination%.pre
   • %SYSDIR%\AEA7B643D8812EB12BFE.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%zehnstellige zufällige Buchstabenkombination%.pre;"

 Injektion – Es injiziert sich in einen Prozess.

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • http://**********-a.com/**********.php?id=**********434E41564549&cmd=img
   • http://**********-a.com/**********.php?id=**********41564549&cmd=lfk&data=**********30WIIsfb#XNyxX5No#hQg0%2Bl85I9m0VmEP2IpcA
   •


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Wensin Lee am Freitag, 4. Mai 2012
Die Beschreibung wurde geändert von Wensin Lee am Freitag, 4. Mai 2012

zurück . . . .