Analisado por: Rika Joi Gregorio   

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Backdoor

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.

  Detalhes técnicos

Tipo de compactação: 753,776 bytes
Tipo de arquivo: DLL
Residente na memória: Sim
Data de recebimento das amostras iniciais: 27 novembro 2012

Übertragungsdetails

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.

Installation

Schleust folgende Komponentendateien ein:

  • %Temp%\~tmp{random}.old

(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\6to4\Parameters
ServiceDll = {malware path}\{malware name}.dll

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Session Manager
PendingFileRenameOperations = %Temp%\~tmp{random}.old