TROJ_MDROP.KZ
Exploit-MSExcel.u !! (McAfee)
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
D¨¦tails techniques
Installation
Schleust die folgenden Dateien ein:
- %User Temp%\taskmgr.exe
- %User Temp%\{malware file name}.xls
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Registriert die eigene eingeschleuste Komponente als Systemdienst, um zu gew?hrleisten, dass diese bei jedem Systemstart automatisch ausgef¨¹hrt wird. Erstellt daf¨¹r die folgenden Registrierungseintr?ge:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
Type = 20
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
ErrorControl = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
ImagePath = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
DisplayName = "Network Provider Service "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
Description = "Service that offers Security network whith Outlook Express. It shuodn't be stopped unless Special service needed or you known how to contrl."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Parameters
ServiceDll = "%System%\dmdskngr.dll"
Registriert die eigene eingeschleuste Komponente als Systemdienst, um zu gew?hrleisten, dass diese bei jedem Systemstart automatisch ausgef¨¹hrt wird. Erstellt daf¨¹r die folgenden Registrierungsschl¨¹ssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %System%\dmdskngr.dll - detected as BKDR_SMALL.KCA
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Solutions
Step 1
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von TROJ_MDROP.KZ
- BKDR_SMALL.KCA
Step 3
Im abgesicherten Modus neu starten
Step 4
Diesen Registrierungsschl¨¹ssel l?schen
Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- 6to4
- 6to4
Step 5
Diese Dateien suchen und l?schen
- %User Temp%\taskmgr.exe
- %User Temp%\{malware file name}.xls
Step 6
F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als TROJ_MDROP.KZ entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Participez ¨¤ notre enqu¨ºte!