Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Injector.aqa
Entdeckt am:25/05/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigröße:96768 Bytes
MD5 Prüfsumme:cbd0278ebe4f2e28c1b242d8ead116c8
VDF Version:7.11.31.00 - Freitag, 25. Mai 2012
IVDF Version:7.11.31.00 - Freitag, 25. Mai 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Trojan.Generic.KD.888042
   •  Eset: Win32/Trustezeb.C trojan
   •  DrWeb: Trojan.DownLoader8.15433
   •  Norman: W32/Suspicious_Gen4.CRHPT


Betriebsysteme:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Temp%\%zehnstellige zufällige Buchstabenkombination%.pre



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination% "="%HOME%\%zehnstellige zufällige Buchstabenkombination% \%zehnstellige zufällige Buchstabenkombination%.exe"



Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   • "Disable Performance Counters"="dword:0x00000001"

– [HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   • "Disable Performance Counters"="dword:0x00000001"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000



Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   Alter Wert:
   • "Error Count"=dword:00000012
   Neuer Wert:
   • "Error Count"="dword:0x000003e8"

– [HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Performance]
   Alter Wert:
   • "Error Count"=dword:00000012
   Neuer Wert:
   • "Error Count"="dword:0x000003e8"

 Injektion –  Es injiziert folgende Datei in einen Prozess: svchost.exe

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • zeo**********-gt.com
   • frankow-plo**********.com

Die Beschreibung wurde erstellt von Wensin Lee am Freitag, 8. März 2013
Die Beschreibung wurde geändert von Wensin Lee am Freitag, 8. März 2013

zurück . . . .