English
Deutsch
Français
Español
Italiano
Home
Vireninfos
TR/Dldr.FraudLo.sxm
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TechBlog
TR/Dldr.FraudLo.sxm - Trojan
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
TR/Dldr.FraudLo.sxm
Entdeckt am:
13/07/2009
Art:
Security Privacy Risk
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig
Verbreitungspotenzial:
Niedrig
Schadenspotenzial:
Niedrig
Statische Datei:
Nein
VDF Version:
7.01.04.223
- Tue, 14 Jul 2009 11:04 (GMT+1)
General
Verbreitungsmethode:
• Keine eigene Verbreitungsroutine
Aliases:
• Kaspersky: Trojan-Downloader.Win32.FraudLoad.wner
• F-Secure: Trojan-Downloader.Win32.FraudLoad.wner
• Eset: Win32/Kryptik.AAL
Betriebsystem:
• Windows XP
Auswirkungen:
• Lädt schädliche Dateien herunter
• Änderung an der Registry
Nach Aktivierung werden folgende Informationen angezeigt:
Dateien
Eine Kopie seiner selbst wird hier erzeugt:
• %program files%\HomeAntivirus2010\Uninstall.exe
Es werden folgende Dateien erstellt:
– Nicht virulente Dateien:
• %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
• %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcm80.dll
• %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcp80.dll
• %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcr80.dll
• %program files%\HomeAntivirus2010\data\daily.cvd
• %program files%\HomeAntivirus2010\pthreadVC2.dll
• %program files%\HomeAntivirus2010\htmlayout.dll
•
%zufällig ausgewähltes Verzeichnis%
\
%zufällige Wörter%
– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %tempdir%\prm
%Nummer%
• %tempdir%\wr
%Nummer%
• %tempdir%\clamav-%32 random hexa numbers%\daily.db
• %tempdir%\clamav-%32 random hexa numbers%\daily.hdb
• %tempdir%\clamav-%32 random hexa numbers%\daily.hdu
• %tempdir%\clamav-%32 random hexa numbers%\daily.mdb
• %tempdir%\clamav-%32 random hexa numbers%\daily.ndb
• %tempdir%\clamav-%32 random hexa numbers%\daily.wdb
• %tempdir%\clamav-%32 random hexa numbers%\daily.pdb
• %tempdir%\clamav-%32 random hexa numbers%\daily.cfg
• %tempdir%\clamav-%32 random hexa numbers%\daily.fp
• %tempdir%\clamav-%32 random hexa numbers%\daily.zmd
• %tempdir%\clamav-%32 random hexa numbers%\daily.mdu
• %tempdir%\clamav-%32 random hexa numbers%\daily.ndu
• %tempdir%\clamav-%32 random hexa numbers%\daily.info
– %program files%\HomeAntivirus2010\HomeAntivirus2010.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: TR/Dldr.FraudLo.sxm
– %program files%\HomeAntivirus2010\AVEngn.dll Erkannt als: TR/Dldr.FraudLo.sxm
– %program files%\HomeAntivirus2010\wscui.cpl Erkannt als: TR/Dldr.FraudLo.sxm
– %systemdir%\_scui.cpl Erkannt als: TR/Dldr.FraudLo.sxm
Es wird versucht die folgenden Dateien herunterzuladen:
– Die URL ist folgende:
• http://user:@bugermanosatora.com/files/ha21/Binaries1.cab
Diese wird lokal gespeichert unter:
%temporary internet files%
– Die URL ist folgende:
• http://user:************@bugermanosatora.com/files/BinariesAVE.cab
Diese wird lokal gespeichert unter:
%temporary internet files%
– Die URL ist folgende:
• http://user:************@bugermanosatora.com/files/BinariesAdd.cab
Diese wird lokal gespeichert unter:
%temporary internet files%
– Die URL ist folgende:
• http://user:************@bugermanosatora.com/files/ha21/BinariesGUI.cab
Diese wird lokal gespeichert unter:
%temporary internet files%
– Die URL ist folgende:
• http://user:************@bugermanosatora.com/files/BinariesSC.cab
Diese wird lokal gespeichert unter:
%temporary internet files%
– Die URL ist folgende:
• http://user:************@bugermanosatora.com/files/BinariesUpd.cab
Diese wird lokal gespeichert unter:
%temporary internet files%
Registry
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Home Antivirus 2010"="\"
%PROGRAM FILES%
\HomeAntivirus2010\HomeAntivirus2010.exe\" /hide"
Folgende Registryschlüssel werden hinzugefügt:
– [HKCU\Control Panel\don't load]
• "scui.cpl"="No"
• "wscui.cpl"="No"
– [HKLM\SOFTWARE\HomeAntivirus2010]
• "info"="
%aktuelles Datum%
"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
HomeAntivirus2010]
• "DisplayName"="Home Antivirus 2010"
• "UninstallString"="
%PROGRAM FILES%
\HomeAntivirus2010\Uninstall.exe"
– [HKLM\SOFTWARE\Microsoft\Security Center]
Alter Wert:
• "FirewallDisableNotify"=dword:00000000
Neuer Wert:
• "FirewallDisableNotify"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Security Center]
Alter Wert:
• "UpdatesDisableNotify"=dword:00000000
Neuer Wert:
• "UpdatesDisableNotify"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Security Center]
Alter Wert:
• "AntiVirusDisableNotify"=dword:00000000
Neuer Wert:
• "AntiVirusDisableNotify"=dword:00000001
Kurzfassung
hier
.
Beschreibung erstellt von Mihai Dilimot am Mon, 10 Aug 2009 13:05 (GMT+1)
Beschreibung geändert von Mihai Dilimot am Tue, 11 Aug 2009 09:43 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt bestimmte Malware und ihre Varianten.
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2009 Avira GmbH
Copyright
|
Datenschutz
|
Sitemap
|
Feedback
|
Impressum
|
FAQ
|
Kontakt
Vireninfos TR/Dldr.FraudLo.sxm
Diese Seite drucken
.gif)
