TROJ_DLOADE.SMC2

Wird möglicherweise von anderer Malware eingeschleust.

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Öffnet Websites, um Dateien herunterzuladen. Dadurch kann diese Malware möglicherweise andere Malware auf dem betroffenen Computer hinterlassen. Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Diese Malware kann keine Daten stehlen.

Übertragungsdetails

Wird möglicherweise von der folgenden Malware eingeschleust:

• TROJ_DROPTER.HNY
• TROJ_DLOADE.BFC

Installation

Schleust die folgenden Dateien ein und führt sie aus:

• %User Profile%\Applications\Microsoft\msviewer.exe - (when user is not Administrator) detected as TROJ_DLOADE.SMC2
• %Program Files%\Windows NT\Accessories\Microsoft\msviewer.exe - (when user is Administrator) detected as TROJ_DLOADE.SMC2

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Erstellt die folgenden Ordner:

• %Program Files%\Windows NT\Accessories\Microsoft
• %User Profile%\Applications\Microsoft

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\Windows Message.lnk (Windows XP and lower versions) ← shortcut to its modified drop copy
• %Start Menu%\Programs\Startup\Windows Message.lnk (Windows Vista and higher versions) ← shortcut to its modified drop copy

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.. %Start Menu% ist der Ordner 'Startmenü' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü unter Windows NT und C:\Windows\Startmenü oder C:\Dokumente und Einstellungen\{Benutzername}\Startmenü unter Windows 2000, XP und Server 2003.)

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Download-Routine

Öffnet Websites, um die folgenden Dateien herunterzuladen:

• http://{BLOCKED}g.twinkes.net/otete2/css/topblack.php

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %User Temp%\msupdata.exe
• %User Temp%\{random}.tmp ← this will be created if unable to create 'msupdata.exe'

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Datendiebstahl

Diese Malware kann keine Daten stehlen.