TROJ_AGENT.ICO
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
Não
In the Wild:
Sim
Visão geral
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installiert ein gefälschtes Antiviren-/Anti-Spyware-Programm. Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.
Detalhes técnicos
Übertragungsdetails
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installation
Schleust folgende nicht bösartigen Dateien ein:
- %Documents and Settings%\All Users\Application Data\{random}
- %UserProfile%\Templates\{random}
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_CLASSES_ROOT\exefile\shell\
open\command
Default = {malware path and filename} -a "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
Default = {malware path and filename} -a "C:\Program Files\Intern
(Note: The default value data of the said registry entry is Internet Explorer.)
Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:
HKEY_CLASSES_ROOT\.exe\shell\
open\command
Default = ""{malware path and filename}" -a "%1" %*"
HKEY_CURRENT_USER\Software\Classes\
.exe
Default = exefile
HKEY_CLASSES_ROOT\.exe\DefaultIcon
Default = %1
HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
default = "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile
Content Type = application/x-msdownload
HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe
Content Type = application/x-msdownload
HKEY_CURRENT_USER\Software\Classes\
.exe\DefaultIcon
Default = %1
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
Default = {malware path and filename} -a "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
Default = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile
Default = Application
HKEY_CURRENT_USER\Software\Classes\
exefile
Content Type = application/x-msdownload
HKEY_CURRENT_USER\Software\Classes\
exefile\DefaultIcon
Default = %1
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
Default = {malware path and filename} -a "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
Default = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
IsolatedCommand = "%1" %*
Rogue-Antiviren-Routine
Installiert ein gefälschtes Antiviren-/Anti-Spyware-Programm.
Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.