TR/NSAnti.B.3 - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/NSAnti.B.3
Entdeckt am:	28/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	30.855 Bytes
MD5 Prüfsumme:	7ef7d92faee21f9940dd89140A231ef0
VDF Version:	6.35.01.15 - Fri, 28 Jul 2006 08:25 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-PSW.Win32.Lmir.ayt
   • TrendMicro: TSPY_DELF.BVH
   • Bitdefender: Trojan.NSAnti.B

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\help\ZTpass.exe
• %WINDIR%\help\ZTYX.CHI

Es wird folgende Datei erstellt:

– %WINDIR%\help\ZThook.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lmir.awj.1

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\help\ZTpass.exe"
   • "DisplayName"="ZT Massacre"
   • "ObjectName"="LocalSystem"
   • "Description"="ZTmassacre"

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\ZTmassacre\Enum]
   • "0"="Root\\LEGACY_ZTMASSACRE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Diverses Internetverbindung:

Eine Namensabfrage mit folgender Domain wird durchgeführt:
• yhb1978.3322.org

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Wed, 09 Aug 2006 14:41 (GMT+1)
Beschreibung geändert von Daniel Constantin am Wed, 09 Aug 2006 14:54 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück