Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Matsnu.EB.132
Entdeckt am:25/03/2013
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigröße:137.728 Bytes
MD5 Prüfsumme:a6bbd5b917391f42ed804efe85e03a02
VDF Version:7.11.67.14 - Montag, 25. März 2013
IVDF Version:7.11.67.14 - Montag, 25. März 2013

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Trojan.Generic.KD.912250
   •  AVG: PSW.Generic10.CJIM
   •  Eset: Win32/Trustezeb.C trojan
   •  Norman: W32/Suspicious_Gen4.DEGIN


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Temp%\%zehnstellige zufällige Buchstabenkombination%.pre
   • C:\run\SAMPLE.EXE
   • %AppData%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="C:\Documents and Settings\\Biluta\\Application Data\\%zufällige Buchstabenkombination%\\%zufällige Buchstabenkombination%.exe"



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%Temp%\%zehnstellige zufällige Buchstabenkombination%.pre;"



Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000

 Injektion     Alle der folgenden Prozesse:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe


Die Beschreibung wurde erstellt von Wensin Lee am Mittwoch, 27. März 2013
Die Beschreibung wurde geändert von Wensin Lee am Mittwoch, 27. März 2013

zurück . . . .