Analys¨¦ par: Dianne Lagrimas   
 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Wird als Datei ¨¹bertragen, die die Funktionen anderer Malware/Grayware/Spyware exportiert. Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Registriert sich als BHO (Browser Helper Object), um bei jeder Verwendung des Internet Explorers automatisch ausgef¨¹hrt zu werden. Erstellt daf¨¹r Registrierungsschl¨¹ssel/-eintr?ge.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen. Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausf¨¹hren.

  D¨¦tails techniques

File size: Varie
File type: PE
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 13 septembre 2010
Charge malveillante: Connects to URLs/IPs

?bertragungsdetails

Wird als Datei ¨¹bertragen, die die Funktionen anderer Malware/Grayware/Spyware exportiert.

Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Installation

Schleust die folgenden Dateien ein:

  • %System%\{random name}.dll

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Profile%\Application Data\{random characters}.exe

(Hinweis: %User Profile% ist der Ordner f¨¹r Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

F¨¹gt sich in die folgenden Prozesse ein, die im Speicher des betroffenen Systems ausgef¨¹hrt werden:

  • WINLOGON.EXE

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random string} = rundll32.exe "{malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{Malware file name without extension}
DLLName = "{Malware file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = "{Malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellExecuteHooks
{Malware CLSID} = ""

Registriert sich als BHO (Browser Helper Object), um bei jeder Verwendung des Internet Explorers automatisch ausgef¨¹hrt zu werden. Erstellt daf¨¹r die folgenden Registrierungsschl¨¹ssel/-eintr?ge:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{Random CLSID}\InprocServer32
(Default) = "{Malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{Random CLSID}

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • http://{BLOCKED}.103.60/go//?cmp=vmtek_update&lid=run&uid={data}&guid={data}

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausf¨¹hren.

  Solutions

Moteur de scan minimum: 9.200
Participez ¨¤ notre enqu¨ºte!