Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Drop.Daws.bkvc
Entdeckt am:07/03/2013
Art:Trojan
Nebenart:Drop
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigröße:399872 Bytes
MD5 Prüfsumme:ab3dd8f76388aefb652cbac449ed19c9
VDF Version:7.11.64.00 - Donnerstag, 7. März 2013
IVDF Version:7.11.64.00 - Donnerstag, 7. März 2013

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\Ssan.exe



Es wird folgende Datei erstellt:

%SYSDIR%\Ssam.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:0000001f



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\ControlSet001\Services\SampleService]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="c:\windows\\system32\\Ssan.exe"
   • "DisplayName"="Sample Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Service program written Software."

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SAMPLESERVICE]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SAMPLESERVICE\0000]
   • "Service"="SampleService"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Sample Service"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SAMPLESERVICE\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="SampleService"

– [HKLM\SYSTEM\ControlSet001\Services\SampleService\Enum]
   • "0"="Root\\LEGACY_SAMPLESERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Diverses Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • CreateService
   • CloseServiceHandle
   • StartService
   • OpenSCManager
   • URLDownloadToFile


String:
Des Weiteren enthält es folgende Zeichenketten:
   • Open author's Web Home Page
   • VB6 Service Sample started

Die Beschreibung wurde erstellt von Wensin Lee am Freitag, 8. März 2013
Die Beschreibung wurde geändert von Wensin Lee am Freitag, 8. März 2013

zurück . . . .