TROJ_DROPR.JX
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.
Detalhes técnicos
Installation
Erstellt die folgenden Ordner:
- %System Root%\ProgramData
- %System Root%\ProgramData\Microsoft
- %System Root%\ProgramData\Microsoft\Windows
- %System Root%\ProgramData\Microsoft\Windows\Common
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Autostart-Technik
Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\DHCPSrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NetLog0n
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RegSysapp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SessionService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SystemSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UDPMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UPNPUpdate
Andere Systemänderungen
Ändert die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths
Directory = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5"
(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path1
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5\Cache1.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path2
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5\Cache2.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path3
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5\Cache3.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path4
CachePath = "%System Root%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
(Note: The default value data of the said registry entry is %Temporary Internet Files%\Content.IE5\Cache4.)
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %System Root%\ProgramData\Microsoft\Windows\NetCC{number}.dll
- %System Root%\ProgramData\Microsoft\Windows\QQlive.exe
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.