Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Skelf.A
Entdeckt am:17/05/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:34.477 Bytes
MD5 Prüfsumme:78EE9C318793ADB145A5ABDC07DB8F1B
VDF Version:7.11.30.90 - Donnerstag, 17. Mai 2012
IVDF Version:7.11.30.90 - Donnerstag, 17. Mai 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Eset: Win32/Trustezeb.B
   •  DrWeb: Trojan.Winlock.5908


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\%zufällige Buchstabenkombination%.pre
   • %SYSDIR%\%zufällige Buchstabenkombination% .exe
   • %APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %zufällige Buchstabenkombination% = %APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%zufällige Buchstabenkombination%.exe,"



Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%zufällige Buchstabenkombination%.EXE"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%zufällige Buchstabenkombination%.EXE"



Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Neuer Wert:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • %SYSDIR%\ctfmon.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX


Verschlüsselung:
Verschlüsselung: Der virulente Code ist verschlüsselt

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 17. Mai 2012
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 17. Mai 2012

zurück . . . .