Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Rogue.kdv.640189
Entdeckt am:03/07/2012
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Dateigre:94.720 Bytes
MD5 Prfsumme:C142F7941922369C46E948FF508F67CE
VDF Version:7.11.34.246 - Dienstag, 3. Juli 2012
IVDF Version:7.11.34.246 - Dienstag, 3. Juli 2012

 Allgemein Verbreitungsmethode:
    Autorun Dateien


Alias:
   •  Mcafee: PWS-Spyeye
   •  Kaspersky: Worm.Win32.Cridex.dc
     Microsoft: Worm:Win32/Cridex.B
   •  Grisoft: SHeur4.AHBZ
   •  Eset: Win32/AutoRun.Spy.Banker.M worm
     DrWeb: Trojan.DownLoader6.13798


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\KB00027502.exe

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%TEMPDIR%\POS1.tmp Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "KB00027502.exe"="%APPDATA%\KB00027502.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKCU\Software\Microsoft\Windows Media Center\C36E1C63]
[HKCU\Software\Microsoft\Windows Media Center\2FB0C48D]
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "GlobalUserOffline"=dword:00000000

 Hintertr Kontaktiert Server:
Einer der folgenden:
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru

Hierdurch knnen Informationen gesendet und Hintertrfunktionen bereitgestellt werden.

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • %WINDIR%\Explorer.EXE


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Daniel Mocanu am Mittwoch, 8. August 2012
Die Beschreibung wurde geändert von Daniel Mocanu am Mittwoch, 8. August 2012

zurück . . . .