Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Name:TR/Agent.524288.40
Entdeckt am:11/05/2007
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Dateigröße:520469 Bytes
MD5 Prüfsumme:0741367b275c28de39543c0d974097d9
VDF Version:6.38.01.122
IVDF Version:6.38.01.128 - Freitag, 11. Mai 2007

 Allgemein Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Sophos: Mal/Sohana-A
   •  Bitdefender: Worm.Generic.382114
   •  Eset: Win32/Autoit.HY worm
   •  DrWeb: Trojan.DownLoad1.53716
   •  Norman: W32/Obfuscated.H!genr


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\missAU.exe
   • C:\run\1



Folgende Dateien werden gelöscht:
   • %TEMPDIR%\scs8.tmp
   • %TEMPDIR%\scs9.tmp



Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %WINDIR%\schost.exe

 Registry Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Neuer Wert:
   • "Userinit"="c:\windows\\missAU.exe"

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen wird folgender DNS Server kontaktiert:
   • boyvippro.c**********team.com


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • ReadProcessMemory
   • WriteProcessMemory
   • GetKeyState
   • GetAsyncKeyState
   • FtpOpenFile
   • InternetOpenUrl
   • GetWindowsDirectory
   • IsProcessorFeaturePresent
   • CreateProcess
   • CreateFile
   • GetDriveType
   • CreateToolhelp32Snapshot
   • FindWindow
   • ShellExecute

Descrizione inserita da Wensin Lee su giovedì 11 aprile 2013
Descrizione aggiornata da Wensin Lee su giovedì 11 aprile 2013

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.