Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Dldr.Dofoil.qty
Entdeckt am:13/08/2013
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:45.056 Bytes
MD5 Prfsumme:ab9a66a35901eb2e570813baf547f1f6
VDF Version:7.11.96.144 - Dienstag, 13. August 2013
IVDF Version:7.11.96.144 - Dienstag, 13. August 2013

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Dofoil.qty
     Fortinet: W32/Dofoil.PHY!tr


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • Ldt Dateien herunter
   • Erstellt eine Datei


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Es wird folgende Datei erstellt:

%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • RECIPIENT: Mark Smith
     LOCATION OF YOUR PARCEL: Los Angeles
     STATUS OF YOUR ITEM: not delivered
     SERVICE: Standard Shipping
     ITEM NUMBER:U2342364242354-US
     INSURANCE: Yes

 Hintertr Kontaktiert Server:
Einer der folgenden:
   • http://78.133.211.**********:443/%Hexadezimale Zahl%
   • http://92.60.192.**********:443/%Hexadezimale Zahl%
   • http://177.70.22.**********:8080/%Hexadezimale Zahl%
   • http://88.84.162.**********:587/%Hexadezimale Zahl%

Hierdurch knnen Informationen gesendet und Hintertrfunktionen bereitgestellt werden.

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • %SYSDIR%\svchost.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 13. August 2013
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 13. August 2013

zurück . . . .