Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Injector.aqa
Entdeckt am:25/05/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigre:96768 Bytes
MD5 Prfsumme:cbd0278ebe4f2e28c1b242d8ead116c8
VDF Version:7.11.31.00 - Freitag, 25. Mai 2012
IVDF Version:7.11.31.00 - Freitag, 25. Mai 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Trojan.Generic.KD.888042
   •  Eset: Win32/Trustezeb.C trojan
     DrWeb: Trojan.DownLoader8.15433
     Norman: W32/Suspicious_Gen4.CRHPT


Betriebsysteme:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Temp%\%zehnstellige zufllige Buchstabenkombination%.pre



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufllige Buchstabenkombination% "="%HOME%\%zehnstellige zufllige Buchstabenkombination% \%zehnstellige zufllige Buchstabenkombination%.exe"



Die folgenden Registryschlssel werden hinzugefgt um die Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   • "Disable Performance Counters"="dword:0x00000001"

[HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   • "Disable Performance Counters"="dword:0x00000001"

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000



Folgende Registryschlssel werden gendert:

[HKLM\SYSTEM\ControlSet001\Services\RemoteAccess\Performance]
   Alter Wert:
   • "Error Count"=dword:00000012
   Neuer Wert:
   • "Error Count"="dword:0x000003e8"

[HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Performance]
   Alter Wert:
   • "Error Count"=dword:00000012
   Neuer Wert:
   • "Error Count"="dword:0x000003e8"

 Injektion –  Es injiziert folgende Datei in einen Prozess: svchost.exe

 Diverses Internetverbindung:
Um auf eine verfgbare Internetverbindung zu prfen werden folgende DNS Server kontaktiert:
   • zeo**********-gt.com
   • frankow-plo**********.com

Die Beschreibung wurde erstellt von Wensin Lee am Freitag, 8. März 2013
Die Beschreibung wurde geändert von Wensin Lee am Freitag, 8. März 2013

zurück . . . .