Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Kazy.100152.7
Entdeckt am:17/10/2012
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:272896 Bytes
MD5 Prüfsumme:0df3a52b7a304b6d5ec932f0d3e21d0b
VDF Version:7.11.46.124 - Mittwoch, 17. Oktober 2012
IVDF Version:7.11.46.124 - Mittwoch, 17. Oktober 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Shiz.gvcj
   •  Eset: Win32/Spy.Shiz.NCF
   •  DrWeb: Trojan.PWS.Ibank.456


Betriebsysteme:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Kann zur Ausführung von schädlichem Code verwendet werden
   • Kann von Hackern oder Malware dazu benutzt werden, die Sicherheitseinstellungen herabzusetzen
   • Kann benutzt werden um Einstellungen am System vorzunehmen, die es möglich machen, Malware auf dem System auszuführen.
   • Erstellt eine potentiell gefährliche Datei

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\appatch\%sechsstellige zufällige Buchstabenkombination%.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe"
   • "run"="%WINDIR%\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe"



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "userinit"="%SYSDIR%\userinit.exe
   Neuer Wert:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe,"
   • "System"="%WINDIR%\apppatch\%sechsstellige zufällige Buchstabenkombination%.exe"

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • xuq**********.eu
   • tuwi**********.eu
   • qeg**********.eu
   • puv**********.eu
   • noju**********.eu
   • dimu**********.eu
   • puzu**********.eu
   • rydi**********.eu
   • cili**********.eu
   • jeje**********.eu
   • voja**********.eu
   • tun**********.eu
   • foge**********.eu
   • fobo**********.eu
   • tupa**********.eu
   • pure**********.eu
   • ryq**********.eu
   • ...


Die Beschreibung wurde erstellt von Elias Lan am Sonntag, 21. Oktober 2012
Die Beschreibung wurde geändert von Elias Lan am Sonntag, 21. Oktober 2012

zurück . . . .