Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Injector.tcc
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Dateigre:936448 Bytes
MD5 Prfsumme:98f74b530d4ebf6850c4bc193c558a98

 Allgemein Verbreitungsmethoden:
    Autorun Dateien
   • Lokales Netzwerk
    Messenger


Aliases:
   •  Kaspersky: Trojan.Win32.Bublik.iza
   •  Eset: Win32/Dorkbot.B worm
     GData: Trojan.Generic.KDV.750144
     DrWeb: BackDoor.IRC.NgrBot.42


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
    Kann benutzt werden um Einstellungen am System vorzunehmen, die es mglich machen, Malware auf dem System auszufhren.
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %appdata%\%sechsstellige zufllige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

%appdata%\%1 digit random character string%.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%sechsstellige zufllige Buchstabenkombination%.exe"

 Diverses Internetverbindung:
Um auf eine verfgbare Internetverbindung zu prfen werden folgende DNS Server kontaktiert:
   • s177.hot**********.com
   • venus.time**********.pl


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


String:
Des Weiteren enthlt es folgende Zeichenketten:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Die Beschreibung wurde erstellt von Wensin Lee am Montag, 8. Oktober 2012
Die Beschreibung wurde geändert von Wensin Lee am Montag, 8. Oktober 2012

zurück . . . .