Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Matsnu.EB.114
Entdeckt am:24/05/2013
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:118.784 Bytes
MD5 Prüfsumme:779048509F603D4C8D0E64700F94D1BD
VDF Version:7.11.79.246
IVDF Version:7.11.79.246

 Allgemein Verbreitungsmethoden:
   • Email
   • Durch Aufrufen infizierter Websites


Aliases:
   •  Kaspersky: Trojan-Ransom.Win32.Foreign.csil
   •  Bitdefender: Trojan.GenericKD.1008662
   •  Microsoft: Trojan:Win32/Matsnu
   •  GData: Trojan.GenericKD.1008662


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Kann zur Ausführung von schädlichem Code verwendet werden
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Appdata\%neunstellige zufällige Buchstabenkombination%\%zehnstellige zufällige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • C:\Temp\%zehnstellige zufällige Buchstabenkombination%.pre

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
   %achtstellige zufällige Buchstabenkombination% ]
   • %HOME%\Appdata\%neunstellige zufällige Buchstabenkombination%\%zehnstellige zufällige Buchstabenkombination% .exe



Folgender Registryschlüssel wird geändert:

– [HKLM\System\CurrentControlSet\Control\Session Manager\
   PendingFileRenameOperations]
   Neuer Wert:
   • \??\C:\Temp\%zehnstellige zufällige Buchstabenkombination%.pre,

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • nv**********ieg.com
Greift auf Internetressourcen zu:
   • http://nv**********ieg.com/inbox.php?**********

Die Beschreibung wurde erstellt von Jan-Eric Herting am Sonntag, 26. Mai 2013
Die Beschreibung wurde geändert von Jan-Eric Herting am Sonntag, 26. Mai 2013

zurück . . . .