TR/Sirery.A - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Sirery.A
Entdeckt am:	10/01/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	54.529 Bytes
MD5 Prüfsumme:	e94d50a89d911c90e361d97eafaf6b92
VDF Version:	6.33.00.105 - Tue, 10 Jan 2006 07:47 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan.Win32.Krotten.ai
   • TrendMicro: TROJ_KROTTEN.AA
   • F-Secure: W32/Krotten.A
   • Sophos: Troj/Sisery-C
   • Grisoft: Agent.DD
   • Bitdefender: Trojan.Small.FW

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Nach Aktivierung werden folgende Informationen angezeigt:

Die Bilder wurde der Anzeige halber modifiziert.

Dateien Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Web\rundll32.exe
• %WINDIR%\Cursors\avp.exe

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svchost"="%WINDIR%\Web\rundll32.exe"
   • "AVPCC"="%WINDIR%\Cursors\avp.exe"

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKCR\regfile\shell\open\command]
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   • "DiskSpaceThreshold"=dword:00000099

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
   • "NoBrowserClose"=dword:00000001
   • "NoNavButtons"=dword:00000001
   • "NoSelectDownloadDir"=dword:00000001
   • "NoBrowserContextMenu"=dword:00000001
   • "NoBrowserOptions"=dword:00000001

– [HKCU\Control Panel\Desktop]
   • "WallpaperOriginX"="210"
   • "WallpaperOriginY"="187"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   • "NoViewContextMenu"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Start_ShowRun"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   • "Window title"=":::::::::::::::::: %russischer Text% ::::::::::::::::::"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="%russischer Text%"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window title"=":::::::::::::::::: %russischer Text% ::::::::::::::::::"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum]
   • "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001
   • "{450D8FBA-AD25-11D0-98A8-0800361B1103}"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall]
   • "NoAddRemovePrograms"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum]
   • "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   • "NoAddRemovePrograms"=dword:00000001

Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableTaskMgr"=%Einstellungen des Benutzers%
   • "NoDispCPL"=%Einstellungen des Benutzers%
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Alter Wert:
   • "DisableTaskMgr"=%Einstellungen des Benutzers%
   • "NoDispCPL"=%Einstellungen des Benutzers%
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • "NoStartMenuPinnedList"=%Einstellungen des Benutzers%
   • "NoStartMenuMFUprogramsList"=%Einstellungen des Benutzers%
   • "NoStartMenuSubFolders"=%Einstellungen des Benutzers%
   • "NoCommonGroups"=%Einstellungen des Benutzers%
   • "NoSMMyPictures"=%Einstellungen des Benutzers%
   • "NoStartMenuMyMusic"=%Einstellungen des Benutzers%
   • "NoSMMyDocs"=%Einstellungen des Benutzers%
   • "NoDesktop"=%Einstellungen des Benutzers%
   • "NoActiveDesktop"=%Einstellungen des Benutzers%
   • "NoViewOnDrive"=%Einstellungen des Benutzers%
   • "NoControlPanel"=%Einstellungen des Benutzers%
   • "NoDrives"=%Einstellungen des Benutzers%
   • "NoRun"=%Einstellungen des Benutzers%
   • "NoFind"=%Einstellungen des Benutzers%
   • "NoFavoritesMenu"=%Einstellungen des Benutzers%
   • "NoRecentDocsMenu"=%Einstellungen des Benutzers%
   • "NoLogOff"=%Einstellungen des Benutzers%
   • "NoClose"=%Einstellungen des Benutzers%
   • "NoSaveSettings"=%Einstellungen des Benutzers%
   • "NoUserNameInStartMenu"=%Einstellungen des Benutzers%
   • "NoToolbarCustomize"=%Einstellungen des Benutzers%
   • "NoThemesTab"=%Einstellungen des Benutzers%
   • "NoSMHelp"=%Einstellungen des Benutzers%
   • "NoPrinterTabs"=%Einstellungen des Benutzers%
   • "NoPrinters"=%Einstellungen des Benutzers%
   • "NoNetHood"=%Einstellungen des Benutzers%
   • "NoManageMyComputerVerb"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   Alter Wert:
   • "NoStartMenuPinnedList"=%Einstellungen des Benutzers%
   • "NoStartMenuMFUprogramsList"=%Einstellungen des Benutzers%
   • "NoStartMenuSubFolders"=%Einstellungen des Benutzers%
   • "NoCommonGroups"=%Einstellungen des Benutzers%
   • "NoSMMyPictures"=%Einstellungen des Benutzers%
   • "NoStartMenuMyMusic"=%Einstellungen des Benutzers%
   • "NoSMMyDocs"=%Einstellungen des Benutzers%
   • "NoDesktop"=%Einstellungen des Benutzers%
   • "NoActiveDesktop"=%Einstellungen des Benutzers%
   • "NoViewOnDrive"=%Einstellungen des Benutzers%
   • "NoControlPanel"=%Einstellungen des Benutzers%
   • "NoDrives"=%Einstellungen des Benutzers%
   • "NoRun"=%Einstellungen des Benutzers%
   • "NoFind"=%Einstellungen des Benutzers%
   • "NoFavoritesMenu"=%Einstellungen des Benutzers%
   • "NoRecentDocsMenu"=%Einstellungen des Benutzers%
   • "NoLogOff"=%Einstellungen des Benutzers%
   • "NoClose"=%Einstellungen des Benutzers%
   • "NoSaveSettings"=%Einstellungen des Benutzers%
   • "NoUserNameInStartMenu"=%Einstellungen des Benutzers%
   • "NoToolbarCustomize"=%Einstellungen des Benutzers%
   • "NoThemesTab"=%Einstellungen des Benutzers%
   • "NoSMHelp"=%Einstellungen des Benutzers%
   • "NoPrinterTabs"=%Einstellungen des Benutzers%
   • "NoPrinters"=%Einstellungen des Benutzers%
   • "NoNetHood"=%Einstellungen des Benutzers%
   • "NoManageMyComputerVerb"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Startseite des Internet Explorers:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Start Page"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Start Page"="http://poetry.rotten.com/**********"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Alter Wert:
   • "RPLifeInterval"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "RPLifeInterval"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "LegalNoticeCaption"="%Einstellungen des Benutzers%"
   • "LegalNoticeText"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="%russischer Text%"

Formatierung der Zeit:
– [HKCU\Control Panel\International]
   Alter Wert:
   • "sTimeFormat"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "sTimeFormat"="%russischer Text%"

Startseite des Internet Explorers:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Start Page"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Start Page"="http://poetry.rotten.com/**********"

– [HKCU\Control Panel\Desktop]
   Alter Wert:
   • "MenuShowDelay"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "MenuShowDelay"="9999"

Diverses String:
Des Weiteren enthält es folgende Zeichenketten:
• InqSoft Sign 0f Misery, v. 2.7, pre-release 2
• C0ded by CyberManiac, (C)2001-2004

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Mon, 16 Jan 2006 12:18 (GMT+1)
Beschreibung geändert von Daniel Constantin am Mon, 23 Jan 2006 08:07 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück