JAVA_BEYOND.A
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Verwendet einen Dateinamen ähnlich dem einer rechtmäßigen Datei, damit Benutzer die Datei für rechtmäßig halten.
Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.
Diese Datei enthält einen URL, zu dem vermutlich eine Verbindung hergestellt wird, um andere Dateien herunterzuladen.
Detalhes técnicos
Installation
Erstellt die folgenden Ordner:
- %User Temp%\hsperfdata_winxp
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Verwendet einen Dateinamen ähnlich dem einer rechtmäßigen Datei, damit Benutzer die Datei für rechtmäßig halten.
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell\open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell\
open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
StubPath = "CMd /q /C start "" /I /B JAvAw.Exe -classpath "%User Temp%\jar_cache5906588338763665408.tmp" a"
Download-Routine
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %User Temp%\hsperfdata_winxp\{random letters}.{random extension names}
- %User Temp%\hsperfdata_winxp\{random filename}.exe
- %User Temp%\hsperfdata_winxp\{random numbers}
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.
Andere Details
Diese Datei enthält einen URL, zu dem vermutlich eine Verbindung hergestellt wird, um andere Dateien herunterzuladen. Zum Zeitpunkt der Fertigstellung dieses Dokuments enthält diese Datei folgende URL-Adressen:
- youporn.com
- go.com
- orkut.com
- hotfile.com
- rapidshare.com
- nytimes.com