Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/PSW.Zbot.258048.270
Entdeckt am:14/01/2013
Art:Trojan
Nebenart:PSW
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:255344 Bytes
MD5 Prüfsumme:fa3bc1fd5c27206c47492c6ca5fcfaf4
VDF Version:7.11.57.60 - Montag, 14. Januar 2013
IVDF Version:7.11.57.60 - Montag, 14. Januar 2013

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Gen:Variant.Graftor.64261
   •  Eset: Win32/Kryptik.ARZP
   •  DrWeb: Trojan.PWS.Panda.2401


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Appdata%\%sechsstellige zufällige Buchstabenkombination%\%fünfstellige zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– %Appdata%\%fünfstellige zufällige Buchstabenkombination%\%fünfstellige zufällige Buchstabenkombination%.%dreistellige zufällige Buchstabenkombination%
%TEMPDIR%\tmp%achtstellige zufällige Buchstabenkombination%.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\Currentversion\Run]
   • "Adabcovofo"="%Appdata%\\%sechsstellige zufällige Buchstabenkombination% \\%5 random character string%.exe\"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Avgu]


Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Alter Wert:
   • "1609"=dword:00000001
   • "1406"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000
   • "1406"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Alter Wert:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Neuer Wert:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Alter Wert:
   • "1406"=dword:00000003
   • "1609"=dword:00000001
   Neuer Wert:
   • "1406"=dword:00000000
   • "1609"=dword:00000000

 Injektion     Prozessname:
   • Explorer.exe


 Diverses Vortäuschen einer vertrauenswürdigen Datei:
Sein Prozess gibt vor der folgende vertrauenswürdige Prozess zu sein: NTSD.Exe
Es ist zu beachten, dass die Malware sogar das Icon fälscht. Dies erweckt den Anschein die Malware sei der oben genannte Prozess.

Die Beschreibung wurde erstellt von Wensin Lee am Mittwoch, 16. Januar 2013
Die Beschreibung wurde geändert von Wensin Lee am Mittwoch, 16. Januar 2013

zurück . . . .