Analisado por: Jasen Sumalapao   
 

ARC:RAR, ARC:[1.doc]:Embedded (Kaspersky), Trojan.ADH.2 (Symantec), Trojan.Win32.Generic!BT (Sunbelt), PUA.Win32.Packer.Armadillo-92 (Clamav), Trojan-Downloader, Trojan-Downloader (Ikarus), probably unknown NewHeur_PE virus, probably unknown NewHeur_PE virus (NOD32), New unknown virus W32/Obfuscated.D3!genr (Norman), [WINWORD.exe]:Suspicious file (Panda), is suspected of Trojan.Downloader.gen.h (VBA32)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Wird möglicherweise manuell von einem Benutzer installiert.

Verwendet gängige Symbole, damit der Benutzer sie für zulässige Dateien hält. Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

  Detalhes técnicos

Tipo de compactação: 143,098 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 01 agosto 2012

Übertragungsdetails

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust folgende Komponentendateien ein:

  • %User Temp%\WINWORD.EXE
  • %User Temp%\1.doc

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verwendet gängige Symbole, damit der Benutzer sie für zulässige Dateien hält.

Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
load = %User Temp%\WINWORD.exe