Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Kazy.100152.7
Entdeckt am:17/10/2012
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigre:272896 Bytes
MD5 Prfsumme:0df3a52b7a304b6d5ec932f0d3e21d0b
VDF Version:7.11.46.124 - Mittwoch, 17. Oktober 2012
IVDF Version:7.11.46.124 - Mittwoch, 17. Oktober 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Shiz.gvcj
   •  Eset: Win32/Spy.Shiz.NCF
     DrWeb: Trojan.PWS.Ibank.456


Betriebsysteme:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
    Kann zur Ausfhrung von schdlichem Code verwendet werden
   • Kann von Hackern oder Malware dazu benutzt werden, die Sicherheitseinstellungen herabzusetzen
    Kann benutzt werden um Einstellungen am System vorzunehmen, die es mglich machen, Malware auf dem System auszufhren.
   • Erstellt eine potentiell gefhrliche Datei

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\appatch\%sechsstellige zufllige Buchstabenkombination%.exe

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe"
   • "run"="%WINDIR%\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe"



Folgender Registryschlssel wird gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "userinit"="%SYSDIR%\userinit.exe
   Neuer Wert:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe,"
   • "System"="%WINDIR%\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe"

 Hintertr Kontaktiert Server:
Alle der folgenden:
   • xuq**********.eu
   • tuwi**********.eu
   • qeg**********.eu
   • puv**********.eu
   • noju**********.eu
   • dimu**********.eu
   • puzu**********.eu
   • rydi**********.eu
   • cili**********.eu
   • jeje**********.eu
   • voja**********.eu
   • tun**********.eu
   • foge**********.eu
   • fobo**********.eu
   • tupa**********.eu
   • pure**********.eu
   • ryq**********.eu
   • ...


Die Beschreibung wurde erstellt von Elias Lan am Sonntag, 21. Oktober 2012
Die Beschreibung wurde geändert von Elias Lan am Sonntag, 21. Oktober 2012

zurück . . . .