Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Skelf.A
Entdeckt am:17/05/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:34.477 Bytes
MD5 Prfsumme:78EE9C318793ADB145A5ABDC07DB8F1B
VDF Version:7.11.30.90 - Donnerstag, 17. Mai 2012
IVDF Version:7.11.30.90 - Donnerstag, 17. Mai 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Eset: Win32/Trustezeb.B
     DrWeb: Trojan.Winlock.5908


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\%zufllige Buchstabenkombination%.pre
   • %SYSDIR%\%zufllige Buchstabenkombination% .exe
   • %APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %zufllige Buchstabenkombination% = %APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%zufllige Buchstabenkombination%.exe,"



Alle Werte des folgenden Registryschlssel und alle Subkeys werden gelscht:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Folgende Registryschlssel werden hinzugefgt:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%zufllige Buchstabenkombination%.EXE"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%zufllige Buchstabenkombination%.EXE"



Folgende Registryschlssel werden gendert:

Deaktivieren von Regedit und Task Manager:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Neuer Wert:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • %SYSDIR%\ctfmon.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX


Verschlsselung:
Verschlsselung: Der virulente Code ist verschlsselt

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 17. Mai 2012
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 17. Mai 2012

zurück . . . .