Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
Name:TR/Kazy.100147.3
Entdeckt am:16/10/2012
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigre:308224 Bytes
MD5 Prfsumme:2498cb88ebfdf2f8a19a692948a9c415
VDF Version:7.11.46.82 - Dienstag, 16. Oktober 2012
IVDF Version:7.11.46.82 - Dienstag, 16. Oktober 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Eset: Win32/Spy.Shiz.NCF
     DrWeb: Trojan.PWS.Ibank.456


Betriebsysteme:
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
    Kann zur Ausfhrung von schdlichem Code verwendet werden
   • Kann von Hackern oder Malware dazu benutzt werden, die Sicherheitseinstellungen herabzusetzen
    Kann benutzt werden um Einstellungen am System vorzunehmen, die es mglich machen, Malware auf dem System auszufhren.
   • Erstellt eine potentiell gefhrliche Datei

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\appatch\%sechsstellige zufllige Buchstabenkombination%.exe

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "userinit"="%WINDIR%\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe"
   • "run"="%WINDIR%\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe"



Folgender Registryschlssel wird gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "userinit"="%SYSDIR%\userinit.exe
   Neuer Wert:
   • "userinit"="%SYSDIR%\userinit.exe,c:\windows\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe,"
   • "System"="%WINDIR%\apppatch\%sechsstellige zufllige Buchstabenkombination%.exe"

 Hintertr Kontaktiert Server:
Alle der folgenden:
   • cih**********.eu
   • nope**********.eu
   • vofo**********.eu
   • qeqi**********.eu
   • foda**********.eu
   • gate**********.eu
   • digi**********.eu
   • lyve**********eu
   • mar**********.eu
   • ryna**********.eu
   • voc**********.eu
   • tucy**********.eu
   • ...


Descrição enviada por Elias Lan em domingo, 21 de outubro de 2012
Descrição atualizada por Elias Lan em domingo, 21 de outubro de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.