English
Deutsch
Español
Italian
Home
Vireninfos
TR/Norip.1
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TR/Norip.1 - Trojan
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
TR/Norip.1
Entdeckt am:
20/07/2006
Art:
Trojan
In freier Wildbahn:
Nein
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Niedrig
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
89.911 Bytes
MD5 Prüfsumme:
c38df15f1aae333a7dac39cb9646ed55
VDF Version:
6.35.00.195
IVDF Version:
6.35.00.235
General
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Betriebsysteme:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Terminierung von Sicherheitsprogrammen
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Dateien
Kopien seiner selbst werden hier erzeugt:
•
%WINDIR%
\LSASS.EXE
•
%WINDIR%
\EXERT.EXE
•
%WINDIR%
\Debug\DebugProgram.exe
•
%SYSDIR%
\MSCONFIG.EXE
•
%SYSDIR%
\dxdiag.com
•
%SYSDIR%
\regedit.com
•
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.COM
•
%PROGRAM FILES%
\Common Files\INTEXPLORE.PIF
Eventuell könnten folgende Dateien beschädigt werden:
• RAVMON.EXE
• TROJDIE*
• KPOP*
• CCENTER*
• *ASSISTSE*
• KPFW*
• AGENTSVR*
• KV*
• KREG*
• IEFIND*
• IPARMOR*
• SVI.EXE
• UPHC*
• RULEWIZE*
• FYGT*
• RFWSRV*
• RFWMA*
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• ToP =
%WINDIR%
\LSASS.exe
Folgende Registryschlüssel werden hinzugefügt:
– [HKCR\WindowFiles]
– [HKCR\WindowFiles\DefaultIcon]
• @ = %1
– [HKCR\WindowFiles\Shell]
– [HKCR\WindowFiles\Shell\Open]
– [HKCR\WindowFiles\Shell\Open\Command]
• @ =
%WINDIR%
\EXERT.exe "%1" %*
Folgende Registryschlüssel werden geändert:
– [HKCR\.exe]
Neuer Wert:
• @ = WindowFiles
– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
Alter Wert:
• @ =
%Einstellungen des Benutzers%
Neuer Wert:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" -nohome
– [HKCU\Software\Microsoft\Internet Explorer\Main]
Alter Wert:
• Check_Associations =
%Einstellungen des Benutzers%
Neuer Wert:
• Check_Associations = No
– [HKCR\Applications\iexplore.exe\shell\open\command]
Alter Wert:
• @ = "
%PROGRAM FILES%
\Internet Explorer\iexplore.exe" %1
Neuer Wert:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" %1
– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
OpenHomePage\Command]
Alter Wert:
• @ = "
%PROGRAM FILES%
\Internet Explorer\iexplore.exe"
Neuer Wert:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com"
– [HKCR\ftp\shell\open\command]
Alter Wert:
• @ =
%Einstellungen des Benutzers%
Neuer Wert:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" %1
– [HKCR\htmlfile\shell\open\command]
Alter Wert:
• @ =
%Einstellungen des Benutzers%
Neuer Wert:
• @ = "
%PROGRAM FILES%
\Internet Explorer\INTEXPLORE.com" -nohome
– [HKCR\htmlfile\shell\opennew\command]
Alter Wert:
• @ =
%Einstellungen des Benutzers%
Neuer Wert:
• @ = "
%PROGRAM FILES%
\Common Files\INTEXPLORE.pif" %1
– [HKCR\http\shell\open\command]
Alter Wert:
• @ =
%Einstellungen des Benutzers%
Neuer Wert:
• @ = "
%PROGRAM FILES%
\Common Files\INTEXPLORE.pif" -nohome
Prozess Beendigung
Folgender Prozess wird beendet:
• RAVMON.EXE
Prozesse mit einer der folgenden Zeichenketten werden beendet:
• TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND;
IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA
Hintertür
Kontaktiert Server:
Einer der folgenden:
• http://upd.etsoft.com.cn/UPD/**********
• http://upd.etsoft.com.cn/upd/**********
Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.
Datei Einzelheiten
Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.
Kurzfassung
hier
.
Beschreibung erstellt von Andrei Gherman am Fri, 28 Jul 2006 15:49 (GMT+1)
Beschreibung geändert von Andrei Gherman am Fri, 28 Jul 2006 16:22 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/KillAV.GR
Worm/Mytob.AP
TR/Crypt.XPACK.Gen
TR/Crypt.PEPM.Gen
TR/Vundo.ewz.9
TR/Monderb.318720
Worm/IrcBot.39673.1
TR/PSW.Steam.DU
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt folgende Malware und ihre Varianten:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2008 Avira GmbH
Copyright
Datenschutz
Sitemap
Feedback
Impressum
FAQ
Kontakt
Vireninfos TR/Norip.1
Diese Seite drucken
.gif)
