Analisado por: Jed Valderama   
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Verwendet einen Dateinamen ähnlich dem einer rechtmäßigen Datei, damit Benutzer die Datei für rechtmäßig halten.

Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.

Diese Datei enthält einen URL, zu dem vermutlich eine Verbindung hergestellt wird, um andere Dateien herunterzuladen.

  Detalhes técnicos

Tipo de compactação: 77,454 bytes
Tipo de arquivo: Java Class, JAR
Data de recebimento das amostras iniciais: 07 setembro 2012

Installation

Erstellt die folgenden Ordner:

  • %User Temp%\hsperfdata_winxp

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verwendet einen Dateinamen ähnlich dem einer rechtmäßigen Datei, damit Benutzer die Datei für rechtmäßig halten.

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell\open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell\
open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
StubPath = "CMd /q /C start "" /I /B JAvAw.Exe -classpath "%User Temp%\jar_cache5906588338763665408.tmp" a"

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %User Temp%\hsperfdata_winxp\{random letters}.{random extension names}
  • %User Temp%\hsperfdata_winxp\{random filename}.exe
  • %User Temp%\hsperfdata_winxp\{random numbers}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.

Andere Details

Diese Datei enthält einen URL, zu dem vermutlich eine Verbindung hergestellt wird, um andere Dateien herunterzuladen. Zum Zeitpunkt der Fertigstellung dieses Dokuments enthält diese Datei folgende URL-Adressen:

  • youporn.com
  • go.com
  • orkut.com
  • hotfile.com
  • rapidshare.com
  • nytimes.com