English
Deutsch
Francais
Español
Italian
Home
Vireninfos
TR/Renova.A
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TR/Renova.A - Trojan
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
TR/Renova.A
Entdeckt am:
19/07/2006
Art:
Trojan
In freier Wildbahn:
Nein
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Niedrig
Schadenspotenzial:
Niedrig bis mittel
Statische Datei:
Ja
Dateigröße:
34.816 Bytes
MD5 Prüfsumme:
aced41c2c5f1a66a9288fba1a5fdbeba
VDF Version:
6.35.00.185
- Wed, 19 Jul 2006 10:53 (GMT+1)
IVDF Version:
6.35.00.225
General
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Kaspersky: Trojan.Win32.Agent.qj
• Bitdefender: Trojan.Renova.A
Betriebsysteme:
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Terminierung von Sicherheitsprogrammen
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Dateien
Kopien seiner selbst werden hier erzeugt:
•
%SYSDIR%
\emma.exe
•
%SYSDIR%
\nova.exe
•
%SYSDIR%
\alisa.exe
•
%PROGRAM FILES%
\Common Files\Renova.exe
Es versucht folgende Dateien auszuführen:
– Dateiname:
•
%SYSDIR%
\emma.exe
– Dateiname:
•
%SYSDIR%
\alisa.exe
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Shell"="
%PROGRAM FILES%
\Common Files\Renova.exe"
Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Renova"="Nova.exe"
Folgende Registryschlüssel werden geändert:
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Alter Wert:
• "AlternateShell"="cmd.exe"
Neuer Wert:
• "AlternateShell"="
%PROGRAM FILES%
\Common Files\Renova.exe"
– [HKLM\SYSTEM\ControlSet
%Nummer%
\Control\SafeBoot]
Alter Wert:
• "AlternateShell"="cmd.exe"
Neuer Wert:
• "AlternateShell"="
%PROGRAM FILES%
\Common Files\Renova.exe"
Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\NOHIDDEN]
Alter Wert:
• "CheckedValue"=
%Einstellungen des Benutzers%
• "DefaultValue"=
%Einstellungen des Benutzers%
Neuer Wert:
• "CheckedValue"=dword:00000002
• "DefaultValue"=dword:00000002
Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
Alter Wert:
• "CheckedValue"=
%Einstellungen des Benutzers%
• "DefaultValue"=
%Einstellungen des Benutzers%
Neuer Wert:
• "CheckedValue"=dword:00000001
• "DefaultValue"=dword:00000002
Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\HideFileExt]
Alter Wert:
• "CheckedValue"=
%Einstellungen des Benutzers%
• "DefaultValue"=
%Einstellungen des Benutzers%
Neuer Wert:
• "CheckedValue"=dword:00000001
• "DefaultValue"=dword:00000001
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Alter Wert:
• "NoSaveSettings"=
%Einstellungen des Benutzers%
• "NoFolderOptions"=
%Einstellungen des Benutzers%
• "NoFind"=
%Einstellungen des Benutzers%
• "NoRun"=
%Einstellungen des Benutzers%
• "NoControlPanel"=
%Einstellungen des Benutzers%
Neuer Wert:
• "NoSaveSettings"=dword:00000000
• "NoFolderOptions"=dword:00000001
• "NoFind"=dword:00000001
• "NoRun"=dword:00000000
• "NoControlPanel"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
Group Policy Objects\LocalUser\Software\Microsoft\Windows\
CurrentVersion\Policies\System]
Alter Wert:
• "DisableRegistryTools"=
%Einstellungen des Benutzers%
Neuer Wert:
• "DisableRegistryTools"=dword:00000000
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Alter Wert:
• "DisableRegistryTools"=
%Einstellungen des Benutzers%
"DisabletaskMgr"=
%Einstellungen des Benutzers%
Neuer Wert:
• "DisableRegistryTools"=dword:00000000
"DisabletaskMgr"=dword:00000000
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Alter Wert:
• "DisableConfig"=
%Einstellungen des Benutzers%
"DisableSR"=
%Einstellungen des Benutzers%
Neuer Wert:
• "DisableConfig"=dword:00000001
"DisableSR"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• "Shell"="Explorer.exe"
"Userinit"="
%SYSDIR%
\userinit.exe"
Neuer Wert:
• "Shell"="explorer.exe "
%PROGRAM FILES%
\Common Files\Renova.exe"
"Userinit"="explorer.exe "
%PROGRAM FILES%
\Common Files\Renova.exe"
– [HKCU\Software\Policies\Microsoft\Windows\System]
Alter Wert:
• "DisableCMD"=
%Einstellungen des Benutzers%
Neuer Wert:
• "DisableCMD"=dword:00000000
Prozess Beendigung
Prozesse mit einem der folgenden Fensternamen werden beendet:
• CompactbyteAV; Advanced Registry Tracer; Setup - iKnowPS; iKnowPS;
RamCleaner; System Cleaner; TuneUp RegistryCleaner; Antivirus Scanner;
Zanda's little helper; Norman Generic Fix; NVC v5.81 Setup; Norman
Virus Control - InstallShield Wizard; Process Explorer - Sysinternals:
www.sysinternals.com; Pocket Killbox; RegCleaner 4.1 by Jouni Vuorio;
Security Task Manager Versi shareware tanpa registrasi; Security Task
Manager; Installation; EULA; PowerDVD; Windows Media Player; System
Restore; Restrictions; Close Programs; Close Program; Task Manager;
HijackThis; HijackThis - v1.99.1; Else; TURN 0FF REN0VA; Renova
Aliciana; Microsoft Configuration Utility; System Configuration
Utility; Registry Editor; open; Windows Task Manager; Renova Emira;
RABIAH; RABI'AH; MANTIK; PLATO; KINDI; IMAMAH; MATURID; HARUN NAS;
IZUTSU; TEOLOGI; SUFI; PARTAI; HASAN ALBANA; IKHWANUL MUSLIMIN;
TAHRIR; ARISTOTELES; GIBRAN; GHAZALI; IHYA; GENDER; PLURALISME; SYIAH;
SYI'AH; DEMOCRA; DEMOKRA; LIBERAL; TASAWUF; SAMIR; YUNAN; QUTH;
EMANSIP; PHILOSOP; MUTAZILAH; MU'TAZILAH; FILOSOF; FILSAFAT;
REALPLAYER; CLEANER; MOVZX; REMOVER; ZANDA; MACHINE; CILLIN; CILIN;
AVAST; GRISOFT; PROCEXP; NORTON; EARTHLINK PROTECTION; WASHER;
COMPACTBYTEAV; ADVANCED REGISTRY TRACER; KILL; CASTLECOPS; SOPHOS;
F-SECURE; REGISTRYFIX; PANDA; SECUNIA; TREND; SYMANTEC; KASPERSKY;
AVG; MCAFEE; NVC; NORMAN; VAKSIN; HACKER; PROCESS EXPLORER -
SYSINTERNALS; PCMAV; HIJACK; KILLBOX; VIRUS; ANTI; EMIKO SHIRATORI;
FAYE WONG; UEMATSU; NUOBUO; NOUBUO; NOBUO; NUBUO; MADONNA; MADONA;
BENNINGTON; BENINGTON; GUN AND ROSE; GUN N ROSE; BLUR; SAMMY; PEARL;
NAZARE; FRENTE; CRANBER; RADIOHEAD; RADIO HEAD; STING; SAYBIA; KEANE;
GROBAN; ALTER; STEFAN; GWEN; MAROON; ANTHEM; GROOVE COVARAGE; PRODIGY;
AGUILERA; BEDING; METALLICA; GUN N'ROSES; ALICIA KEYS; TATA YOUNG; BOY
ZONE; MICHEL; MICHAEL; MICHEAL; MLTR; MARTYN; MARTIN; SCORPION; LINKIN
PARK; LINKINPARK; GREEN DAY; GREENDAY; HOOBASTANK; PETER; WEST; SPICE;
BRITNEY; DEDI DOR; NIA DANIAT; DAHLIA; NIKE ARD; BAGASKARA; KATON;
NAFF; TITIK PUSPA; TITIEK PUSPA; DELON; SNADA; JOSHUA; SHERINA;
SERIEUS; SERIUES; SEURIUS; 10 2 5; TENTOFIVE; TEN2FIVE; 10 TO 5; TEN
TO FIVE; TEN 2 FIVE; CHRISYE; SO7; SHEILA; GLENN; AURIL; AVRIL; OPICK;
AGNES; ANANG; NUGIE; HADAD; HADDAD; AB THREE; REZA; CAFEIN; CAFFEIN;
RATU; RADJA; LALUNA; THE RAIN; UTOPIA; SPARK; BASEJAM; ENDANK; JAVA
JIVE; MARCEL; BUNGLON; ANDRE HEHANU; FLANELA; BAIM; CANDIL; KOES P;
MINORU; NUNO; YOVI; AUDY; TERE; WAYANG; BASE JAM; JIKUSTIK; SAMSON;
PAS BAND; BOOMERANG; NAIF; COKELAT; KAPTEN BAND; TIC BAND; JAMRUD;
KOTAK BAND; AMERICAN IDOL; INDONESIAN IDOL; TEAM LO; BUNGA; TIPE-X;
TIPE X; ELEMENT; EMINEM; RAIHAN; RAYHAN; MELY; MELLY; UNGU; STINGKY;
SLANK; INUL; PADI; IWAN FAL; ADABAND; ADA BAND; ROSA; KRISDAYANTI;
NURHALIZA; DEWA; ARY LASO; ARY LASSO; ARI LASO; ARI LASSO; GIGI;
CHEER; DANCE; SING; SONG; MP 3; MP3; MARAWIS; NASYID; DANGDUT; MELODI;
MELODY; SENANDUNG; IRAMA; GITAR; GUITAR; NYANYI; LAGU; WINAMP; MUSIK;
Shell_TrayWnd; MUSIC
Diverses
Mutex:
Es werden folgende Mutexe erzeugt:
• Renova Emira
• Renova Aliciana
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX
Kurzfassung
hier
.
Beschreibung erstellt von Adriana Popa am Thu, 27 Jul 2006 14:04 (GMT+1)
Beschreibung geändert von Adriana Popa am Thu, 27 Jul 2006 16:36 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos TR/Renova.A
Diese Seite drucken
.gif)
