Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Matsnu.A.75
Entdeckt am:26/08/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:65.536 Bytes
MD5 Prfsumme:B80FCBA4B91876363A2977DAA472A143
VDF Version:7.11.40.252 - Sonntag, 26. August 2012
IVDF Version:7.11.40.252 - Sonntag, 26. August 2012

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Kaspersky: Trojan.Win32.Agentb.adm
   •  Bitdefender: Trojan.Generic.KDV.708823
   •  Eset: Win32/Trustezeb.C
     DrWeb: Trojan.DownLoader6.48319


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\%zufllige Buchstabenkombination%.pre
   • %APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufllige Buchstabenkombination%"="%APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe"

 Email Die Malware verfgt ber keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgefhrt:


Design der Email:



Betreff: Zweite Abmahnung %aktuelles Datum%
Body:
   • Guten Tag %Benutzernamen des Email Kontos%,
     
     in unserem Brief vom %date% wurden Sie bereits gemahnt, weil die nicht bezahlte Forderung von 9895,39 Euro von Ihnen noch nicht bezahlt wurde.
     Wir fordern Sie erneut, Ihrer nicht beglichene Forderung zu begleichen.
     
     Wir mssen Ihnen die Kosten von 14,00 Euro darber hinaus zu der noch offenen Forderung als Mahngebhr in Rechnung stellen.
     Wir bitten Sie, den offenen Betrag bis zum %aktuelles Datum% auf das angegebene Konto zu bersenden.
     
     berweisungsschein und Artikel Liste sind in dem angefgten Schreiben.
     
     Mit besten Gren
     
     LorenzShop GmbH Keiserslauter
     (Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
     Leiter: Timm Friedrich
     Steuer-Nummer: DE303736944
     
Dateianhang:
   • Abmahnung %Benutzernamen des Email Kontos%.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.

 Hintertr Kontaktiert Server:
Den folgenden:
   • http://seneesamj.com/ld/a.**********

Hierdurch knnen Informationen gesendet und Hintertrfunktionen bereitgestellt werden.

Mglichkeiten der Fernkontrolle:
     Datei herunterladen

 Injektion – Es injiziert sich in einen Prozess.

    Alle der folgenden Prozesse:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\ctfmon.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Die Beschreibung wurde erstellt von Tudor Ciochina am Mittwoch, 29. August 2012
Die Beschreibung wurde geändert von Tudor Ciochina am Donnerstag, 30. August 2012

zurück . . . .