Name:TR/Dldr.Agent.17383
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Dateigröße:102400 Bytes
MD5 Prüfsumme:34532a17a64d595a8d139ef5fcb753cf

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Trojan.Generic.KDV.647838
   •  Eset: Win32/Trustezeb.C trojan
   •  GData: Trojan.Generic.KDV.647838
   •  DrWeb: Trojan.DownLoader6.17383


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %temp%\%zehnstellige zufällige Buchstabenkombination% .pre
   • %appdata%\%fünfstellige zufällige Buchstabenkombination% \%zehnstellige zufällige Buchstabenkombination% .exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%temp%\%fünfstellige zufällige Buchstabenkombination% \%achtstellige zufällige Buchstabenkombination% .exe"



Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%zehnstellige zufällige Buchstabenkombination% .pre"



Der Wert des folgenden Registry keys wird gelöscht:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • "AlternateShell"="cmd.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

 Injektion – Es injiziert sich in einen Prozess.

 Diverses Greift auf Internetressourcen zu:
   • http://**********-shops.com/forum/**********.php?id=**********E45544E45&cmd=pcc&win=Windows_XP&loc=0x0809&ver=2.000.11
   • http://**********-shops.com/forum/**********.php?id=**********45544E45&cmd=lfk&ldn=31&stat=CRA&ver=2.000.11&data=**********L86tkrTFDMEt9Cgt8DREw==

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Wensin Lee am Mittwoch, 13. Juni 2012
Die Beschreibung wurde geändert von Wensin Lee am Mittwoch, 13. Juni 2012

zurück . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Alle Rechte vorbehalten.

Mein Konto

https:// Dieses Fenster ist zu Ihrer Sicherheit verschlüsselt.