Analyse von: Alvin Bacani   
 

Trojan.Fakeavlock (Symantec); Trojan-Dropper.Win32.Injector.icfe (Kaspersky)

 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 live casino online L?sungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Backdoor

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Nein

  • In the wild::
    Ja

  ?berblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Um einen ?berblick über das Verhalten dieser Backdoor zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Führt Befehle eines externen, b?swilligen Benutzers aus, wodurch das betroffene System gef?hrdet wird.

  Technische Details

Dateigr??e: 39,936 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 21 September 2013
Schadteil: Compromises system security

Andere System?nderungen

Fügt die folgenden Registrierungseintr?ge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
SystemCertificates\CA\Certificates\
5A82739996ED9EBA18F1BBCDCCA62D2C1D670C
Blob = "{Encrypted configuration data}"

Backdoor-Routine

Führt die folgenden Befehle eines externen, b?swilligen Benutzers aus:

  • Download and execute the main backdoor component

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %Application Data%\Microsoft\Crypto\NTCRYPT{variable}.TPL
  • %Application Data%\Microsoft\Crypto\CERTV{variable}.TPL

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

live casino online erkennt die heruntergeladene Datei als:

  • BKDR_BLYPT.B
  • BKDR64_BLYPT.B
  • BKDR_BLYPT.SM

  L?sungen

Mindestversion der Scan Engine: 9.300
Erste VSAPI Pattern-Datei: 10.290.08
Erste VSAPI Pattern ver?ffentlicht am: 21 September 2013
VSAPI OPR Pattern-Version: 10.291.00
VSAPI OPR Pattern ver?ffentlicht am: 21 September 2013

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt. Achten Sie auf Dateien, die als BKDR_BLYPT.A entdeckt werden

Step 4

Im abgesicherten Modus neu starten

[ learnMore ]

Step 6

Diesen Registrierungsschlüssel l?schen

[ learnMore ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\CA\Certificates
    • 5A82739996ED9EBA18F1BBCDCCA62D2C1D670C

Step 7

Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als BKDR_BLYPT.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil