Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Kazy.100147.3
Entdeckt am:16/10/2012
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:308224 Bytes
MD5 Prüfsumme:2498cb88ebfdf2f8a19a692948a9c415
VDF Version:7.11.46.82 - Dienstag, 16. Oktober 2012
IVDF Version:7.11.46.82 - Dienstag, 16. Oktober 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


Betriebsysteme:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Kann zur Ausführung von schädlichem Code verwendet werden
   • Kann von Hackern oder Malware dazu benutzt werden, die Sicherheitseinstellungen herabzusetzen
   • Kann benutzt werden um Einstellungen am System vorzunehmen, die es möglich machen, Malware auf dem System auszuführen.
   • Erstellt eine potentiell gefährliche Datei

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\appatch\%sechsstellige zufällige Buchstabenkombination%.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe"
   • "run"="%WINDIR%\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe"



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "userinit"="%SYSDIR%\userinit.exe
   Neuer Wert:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe,"
   • "System"="%WINDIR%\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe"

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • cih**********.eu
   • nope**********.eu
   • vofo**********.eu
   • qeqi**********.eu
   • foda**********.eu
   • gate**********.eu
   • digi**********.eu
   • lyve**********eu
   • mar**********.eu
   • ryna**********.eu
   • voc**********.eu
   • tucy**********.eu
   • ...


Die Beschreibung wurde erstellt von Elias Lan am Sonntag, 21. Oktober 2012
Die Beschreibung wurde geändert von Elias Lan am Sonntag, 21. Oktober 2012

zurück . . . .