TR/BHO.abu - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/BHO.abu
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	116.740 Bytes
MD5 Prüfsumme:	ec660fb2459db14ef0bc74b162c8acb6
VDF Version:	7.00.06.117 - Thu, 04 Sep 2008 18:04 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Downloader-BKT trojan
   • Kaspersky: Trojan.Win32.FraudPack.gen
   • F-Secure: Trojan.Win32.FraudPack.gen
   • Sophos: Mal/EncPk-CZ
   • Eset: Win32/TrojanDownloader.FakeAlert.JF trojan
   • Bitdefender: Trojan.Proxy.Agent.BBW

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCR\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}\InprocServer32]
   • @="C:\%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%"
   • "ThreadingModel"="Apartment"

Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}]
   • @="XML module"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCR\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}]
   • @="XML Class"
   • "Install"="OK"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Thomas Wegele am Tue, 23 Dec 2008 13:28 (GMT+1)
Beschreibung geändert von Thomas Wegele am Tue, 23 Dec 2008 13:41 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück