Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Matsnu.A.75
Entdeckt am:26/08/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:65.536 Bytes
MD5 Prüfsumme:B80FCBA4B91876363A2977DAA472A143
VDF Version:7.11.40.252 - Sonntag, 26. August 2012
IVDF Version:7.11.40.252 - Sonntag, 26. August 2012

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Kaspersky: Trojan.Win32.Agentb.adm
   •  Bitdefender: Trojan.Generic.KDV.708823
   •  Eset: Win32/Trustezeb.C
   •  DrWeb: Trojan.DownLoader6.48319


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\%zufällige Buchstabenkombination%.pre
   • %APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe"

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Design der Email:
 


Betreff: Zweite Abmahnung %aktuelles Datum%
Body:
   • Guten Tag %Benutzernamen des Email Kontos%,
     
     in unserem Brief vom %date% wurden Sie bereits gemahnt, weil die nicht bezahlte Forderung von 9895,39 Euro von Ihnen noch nicht bezahlt wurde.
     Wir fordern Sie erneut, Ihrer nicht beglichene Forderung zu begleichen.
     
     Wir müssen Ihnen die Kosten von 14,00 Euro darüber hinaus zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.
     Wir bitten Sie, den offenen Betrag bis zum %aktuelles Datum% auf das angegebene Konto zu übersenden.
     
     Überweisungsschein und Artikel Liste sind in dem angefügten Schreiben.
     
     Mit besten Grüßen
     
     LorenzShop GmbH Keiserslauter
     (Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
     Leiter: Timm Friedrich
     Steuer-Nummer: DE303736944
     
Dateianhang:
   • Abmahnung %Benutzernamen des Email Kontos%.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://seneesamj.com/ld/a.**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

 Injektion – Es injiziert sich in einen Prozess.

    Alle der folgenden Prozesse:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\ctfmon.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Die Beschreibung wurde erstellt von Tudor Ciochina am Mittwoch, 29. August 2012
Die Beschreibung wurde geändert von Tudor Ciochina am Donnerstag, 30. August 2012

zurück . . . .