English
Deutsch
Español
Italian
Home
Vireninfos
TR/Click.Small.HR
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TR/Click.Small.HR - Trojan
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
TR/Click.Small.HR
Entdeckt am:
23/08/2005
Art:
Trojan
In freier Wildbahn:
Nein
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Niedrig
Schadenspotenzial:
Niedrig bis mittel
Statische Datei:
Ja
Dateigröße:
20.480 Bytes
MD5 Prüfsumme:
aab0b0d92b441763d45cff47c9224bcb
VDF Version:
6.31.1.140
General
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Symantec: PWSteal.Lemir
• Kaspersky: Trojan-Clicker.Win32.Small.hr
• Panda: Trj/Agent.AIA
• Bitdefender: Trojan.Clicker.Small.HR
Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP
Auswirkungen:
• Terminierung von Sicherheitsprogrammen
• Änderung an der Registry
Dateien
Eine Kopie seiner selbst wird hier erzeugt:
•
%SYSDIR%
\iexplore.exe
Die anfänglich ausgeführte Kopie der Malware wird gelöscht.
Es wird folgende Datei erstellt:
–
%WINDIR%
\deleteme.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Microsoft"="
%SYSDIR%
\iexplore.exe"
Die Werte der folgenden Registry keys werden gelöscht:
– HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
• RavMon
• KAVPersonal50
• RavTimer
• KvMonXP
• iDuba Personal FireWall
• KAVRun
• KpopMon
• Kulansyn
• KavPFW
• KvXP
• ccApp
• SSC_UserPrompt
• NAV CfgWiz
• MCAgentExe
• McRegWiz
• MCUpdateExe
• MSKAGENTEXE
• MSKDetectorExe
• VirusScan Online
• VSOCheckTask
• McAfeeUpdaterUI
• Network Associates Error Reporting Service
• ShStatEXE
• KavStart
• Services
• KWatch9x
– HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
• iDuba Personal FireWall
• KavPFW
• KvXP
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\MskService
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McShield
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
• Start=dword:00000004
Prozess Beendigung
Liste der Prozesse die beendet werden:
• CCAPP.EXE; EGHOST.EXE; explor.exe; FireTray.exe; Iparmor.exe;
KATMain.EX; KAV32.EXE; KAVPFW.EXE; KAVPLUS.EXE; KAVStart.exe;
KmailMon.EXE; KPOPMON.EXE; KRegEx.exe; KVCENTER.KXP; KvDetech.exe;
KVFW.EXE; KVMonXP.KXP; KVOL.exe; kvolself.exe; KVXP.KXP; KWatch9x.exe;
KWATCHUI.EXE; MAILMON.EXE; MCAGENT.EXE; MCVSESCN.EXE; MSKAGENT.EXE;
RAV.EXE; RAVMON.EXE; RAVTIMER.EXE; SHSTAT.EXE; SOFTOK.EXE; TBMon.exe;
TrojanDetector.EXE; TrojDie.kxp; UpdaterUI.exe; windox.exe
Prozesse mit folgenden Charakteristiken werden beendet:
• Titel: Symantec AntiVirus Name der Klasse: KV2004
• Titel: RavMon.exe Name der Klasse: RavMonClass
• Titel: ZoneAlarm Name der Klasse: ZAFrameWnd
• Titel:
%Double-Byte-Zeichen%
Name der Klasse: Tapplication
• Titel:
%Double-Byte-Zeichen%
Name der Klasse: TForm1
• Titel:
%Zufällig%
Name der Klasse: TfLockDownMain
• Titel:
%Zufällig%
Name der Klasse: KvXP_ExpertFrame
• Titel:
%Zufällig%
Name der Klasse: WHXMDI0
Liste der Dienste die beendet werden:
• ccEvtMgr; ccProxy; ccSetMgr; FireSvc; kavsvc; KPfwSvc; KVSrvXP;
KWatchSvc; McAfeeFramework; McShield; McTaskManager; MskService;
navapsvc; NPFMntor; RsCCenter; RsRavMon; SNDSrvc; SPBBCSvc; Symantec
Core LC; wscsvc
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX
Kurzfassung
hier
.
Beschreibung erstellt von Irina Boldea am Tue, 23 Aug 2005 09:15 (GMT+1)
Beschreibung geändert von Irina Boldea am Mon, 29 Aug 2005 08:34 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.CFI.Gen
Worm/Mytob.BQ
W32/Elkern.C
Worm/Klez.E
Worm/Mytob.AD
TR/Delf.Agent.ABC
TR/Agent.284658
TR/Dldr.Tiny.brm
Worm/Autorun.FY.1
JS/Dldr.Iframe.BM
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos TR/Click.Small.HR
Diese Seite drucken
.gif)
