¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Name:TR/Injector.tcc
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Dateigröße:936448 Bytes
MD5 Prüfsumme:98f74b530d4ebf6850c4bc193c558a98

 Allgemein Verbreitungsmethoden:
   • Autorun Dateien
   • Lokales Netzwerk
   • Messenger


Aliases:
   •  Kaspersky: Trojan.Win32.Bublik.iza
   •  Eset: Win32/Dorkbot.B worm
   •  GData: Trojan.Generic.KDV.750144
   •  DrWeb: BackDoor.IRC.NgrBot.42


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Kann benutzt werden um Einstellungen am System vorzunehmen, die es möglich machen, Malware auf dem System auszuführen.
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %appdata%\%sechsstellige zufällige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

– %appdata%\%1 digit random character string%.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%sechsstellige zufällige Buchstabenkombination%.exe"

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • s177.hot**********.com
   • venus.time**********.pl


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


String:
Des Weiteren enthält es folgende Zeichenketten:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Descripción insertada por Wensin Lee el lunes, 8 de octubre de 2012
Descripción actualizada por Wensin Lee el lunes, 8 de octubre de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.