Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.ZBot.alj
Entdeckt am:28/08/2009
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigre:114688 Bytes
MD5 Prfsumme:237f86451bbfb4341d130a5de71ca9e3
VDF Version:7.01.05.178
IVDF Version:7.01.05.179 - Freitag, 28. August 2009

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %temp%\%zehnstellige zufllige Buchstabenkombination%.pre



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Es wird folgende Datei erstellt:

%temp%\%zufllige Buchstabenkombination%\random character string%.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufllige Buchstabenkombination%"="%HOME%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe"



Die folgenden Registryschlssel werden hinzugefgt um die Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%zehnstellige zufllige Buchstabenkombination%.pre"

[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%zehnstellige zufllige Buchstabenkombination%.pre"

 Diverses Internetverbindung:
Um auf eine verfgbare Internetverbindung zu prfen werden folgende DNS Server kontaktiert:
   • zeo**********-gt.com
   • fen**********.com

Die Beschreibung wurde erstellt von Wensin Lee am Mittwoch, 13. März 2013
Die Beschreibung wurde geändert von Wensin Lee am Mittwoch, 13. März 2013

zurück . . . .