Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Name:TR/Matsnu.LW.1
Entdeckt am:17/04/2013
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigröße:105984 Bytes
MD5 Prüfsumme:20951565fdc35cf85135361452c184a3
VDF Version:7.11.73.42 - Mittwoch, 17. April 2013
IVDF Version:7.11.73.42 - Mittwoch, 17. April 2013

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Trojan.GenericKD.948144
   •  Eset: Win32/Trustezeb.C trojan


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %temp%\%zehnstellige zufällige Buchstabenkombination%.pre
   • %HOME%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Datei wird gelöscht:
   • %temp%\%zehnstellige zufällige Buchstabenkombination%.pre

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%HOME%\\%zufällige Buchstabenkombination%\\%zufällige Buchstabenkombination%.exe"



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%zehnstellige zufällige Buchstabenkombination%.pre;"

 Injektion     Alle der folgenden Prozesse:
   • %SYSDIR%\svchost.exe
   • %WINDIR%\explorer.exe


 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen wird folgender DNS Server kontaktiert:
   • nvufv**********.com/inbox.php?ltype=ld&ccr=1&id=D8812EB1434E**********&stat=0&ver=2000803&loc=0x0809&os=Windows%20XP


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • IsDebuggerPresent
   • IsProcessorFeaturePresent
   • CreateFile


String:
Des Weiteren enthält es folgende Zeichenkette:
   • Are you kinding me?

Descrizione inserita da Wensin Lee su venerdì 19 aprile 2013
Descrizione aggiornata da Wensin Lee su venerdì 19 aprile 2013

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.