English
Deutsch
Français
Español
Italiano
Home
Vireninfos
TR/Fotomoto.F.1
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TechBlog
TR/Fotomoto.F.1 - Trojan
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
TR/Fotomoto.F.1
Entdeckt am:
07/11/2007
Art:
Trojan
In freier Wildbahn:
Nein
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Niedrig
Schadenspotenzial:
Mittel
Statische Datei:
Ja
Dateigröße:
71.232 Bytes
MD5 Prüfsumme:
d724dfe9790E373d1b92b3a35c1d0E49
IVDF Version:
7.00.00.182
- Wed, 07 Nov 2007 12:36 (GMT+1)
General
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Mcafee: Vundo.dr trojan
• Kaspersky: Trojan.Win32.Obfuscated.kp
• F-Secure: Trojan.Win32.Obfuscated.kp
• Panda: Spyware/Virtumonde
• Grisoft: Obfustat.VUL
• Eset: Win32/Adware.Ezula application
Betriebsysteme:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
• Ermöglicht unbefugten Zugriff auf den Computer
Registry
Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%Verzeichnis in dem die Malware ausgeführt wurde%
\
%ausgeführte Datei%
\service"
• "DisplayName"="DomainService"
• "ObjectName"="LocalSystem"
• "FailureActions"=
%Hex Werte%
• "Description"="DomainService"
Der Wert des folgenden Registry keys wird gelöscht:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• DDC
Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• "
%Verzeichnis in dem die Malware ausgeführt
wurde%
\\
%ausgeführte Datei%
"="
%Verzeichnis in dem die
Malware ausgeführt wurde%
\\
%ausgeführte Datei%
:"
Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\DomainService]
Folgender Registryschlüssel wird geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• "SFCDisable" = 0
Neuer Wert:
• "SFCDisable" = 4
Hintertür
Kontaktiert Server:
Alle der folgenden:
• http://24.244.141.185/**********/install.php
• http://24.244.141.185/**********/heartbeat.php
Sende Informationen über:
• Aktueller Malware Status
Möglichkeiten der Fernkontrolle:
• Datei herunterladen
• Besuch einer Webseite
Datei Einzelheiten
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPolyX v0.5
Kurzfassung
hier
.
Beschreibung erstellt von Thomas Wegele am Fri, 07 Dec 2007 09:09 (GMT+1)
Beschreibung geändert von Thomas Wegele am Fri, 07 Dec 2007 13:36 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt bestimmte Malware und ihre Varianten.
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2009 Avira GmbH
Copyright
|
Datenschutz
|
Sitemap
|
Feedback
|
Impressum
|
FAQ
|
Kontakt
Vireninfos TR/Fotomoto.F.1
Diese Seite drucken
.gif)
