TROJ_BLOCKER.A

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Übertragungsdetails

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %Application Data%\Microsoft\flashplayer.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %system root%\{Random Value}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Adobe Flash Player = "%Application Data%\Microsoft\flashplayer.exe"

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %system root%\{Random Value}\icon.png - non-malicious
• %system root%\{Random Value}\manifest.json - non-malicious
• %system root%\{Random Value}\background.js - contain malicious routine
• %system root%\{Random Value}\jquery-1.9.1.min.js - non-malicious
• %system root%\{Random Value}\script.js - non-malicious component
• %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.sqlite - non-malicious
• %Application Data%\Microsoft\flash.xpi - malicious firefox plugins

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)