¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Name:TR/Matsnu.EB.140
Entdeckt am:16/04/2013
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigre:108032 Bytes
MD5 Prfsumme:d31adb20e07611d6dc546eed38c4cefd
VDF Version:7.11.72.248 - Dienstag, 16. April 2013
IVDF Version:7.11.72.248 - Dienstag, 16. April 2013

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Trojan.GenericKD.947430
   •  Eset: Win32/Trustezeb.C trojan


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %temp%\%zehnstellige zufllige Buchstabenkombination%.pre
   • C:\run\sample.exe
   • %HOME%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Dateien werden gelscht:
   • %temp%\%zehnstellige zufllige Buchstabenkombination%.pre
   • C:\run\sample.exe

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufllige Buchstabenkombination%"="%HOME%\\%zufllige Buchstabenkombination%\\%zufllige Buchstabenkombination%.exe"



Die folgenden Registryschlssel werden hinzugefgt um den Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%zehnstellige zufllige Buchstabenkombination%.pre;"

 Injektion     Alle der folgenden Prozesse:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\ctfmon.exe


 Diverses Internetverbindung:
Um auf eine verfgbare Internetverbindung zu prfen wird folgender DNS Server kontaktiert:
   • nvufv**********.com/inbox.php?ltype=ld&ccr=1&id=D8812EB1434E**********&stat=0&ver=2000803&loc=0x0809&os=Windows%20XP


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • IsDebuggerPresent
   • IsProcessorFeaturePresent
   • CreateFile

Descripción insertada por Wensin Lee el miércoles 17 de abril de 2013
Descripción actualizada por Wensin Lee el miércoles 17 de abril de 2013

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.