TR/BHO.QW - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/BHO.QW
Entdeckt am:	18/11/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig
Statische Datei:	Nein
Dateigröße:	~ 178.176 Bytes
IVDF Version:	7.01.00.99 - Tue, 18 Nov 2008 09:28 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Clicker.Win32.Agent.fcz
   • F-Secure: Trojan-Clicker.Win32.Agent.fcz

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "leedkennddulqs"="%SYSDIR%\regsvr32.exe /s \"%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%\""

– [HKCR\CLSID\{8A59D4D5-295D-9AF5-C3FA-7CF5E368BC8F}\InProcServer32]
   • "ThreadingModel"="Apartment"
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%"

Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{8A59D4D5-295D-9AF5-C3FA-7CF5E368BC8F}]
   • "NoExplorer"=dword:00000001

Folgender Registryschlüssel wird hinzugefügt:

– [HKCR\CLSID\{8A59D4D5-295D-9AF5-C3FA-7CF5E368BC8F}]
   • @="addestination browser enhancer"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Thomas Wegele am Wed, 19 Nov 2008 13:46 (GMT+1)
Beschreibung geändert von Thomas Wegele am Wed, 19 Nov 2008 14:00 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück