Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/PSW.Zbot.258048.270
Entdeckt am:14/01/2013
Art:Trojan
Nebenart:PSW
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigre:255344 Bytes
MD5 Prfsumme:fa3bc1fd5c27206c47492c6ca5fcfaf4
VDF Version:7.11.57.60 - Montag, 14. Januar 2013
IVDF Version:7.11.57.60 - Montag, 14. Januar 2013

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
     DrWeb: Trojan.PWS.Panda.2401


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Erstellt eine potentiell gefhrliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Appdata%\%sechsstellige zufllige Buchstabenkombination%\%fnfstellige zufllige Buchstabenkombination%.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Es werden folgende Dateien erstellt:

%Appdata%\%fnfstellige zufllige Buchstabenkombination%\%fnfstellige zufllige Buchstabenkombination%.%dreistellige zufllige Buchstabenkombination%
%TEMPDIR%\tmp%achtstellige zufllige Buchstabenkombination%.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%sechsstellige zufllige Buchstabenkombination% \\%5 random character string%.exe\"



Folgender Registryschlssel wird hinzugefgt:

[HKCU\Software\Microsoft\Avgu]


Folgende Registryschlssel werden gendert:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Alter Wert:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Alter Wert:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Neuer Wert:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Alter Wert:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Neuer Wert:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Injektion     Prozessname:
   • Explorer.exe


 Diverses Vortuschen einer vertrauenswrdigen Datei:
Sein Prozess gibt vor der folgende vertrauenswrdige Prozess zu sein: NTSD.Exe
Es ist zu beachten, dass die Malware sogar das Icon flscht. Dies erweckt den Anschein die Malware sei der oben genannte Prozess.

Die Beschreibung wurde erstellt von Wensin Lee am Mittwoch, 16. Januar 2013
Die Beschreibung wurde geändert von Wensin Lee am Mittwoch, 16. Januar 2013

zurück . . . .