TROJ_FAKEAV.SMFB
Windows 98, ME, NT, 2000, XP, Server 2003
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.
Öffnet Websites, um Dateien herunterzuladen. Dadurch kann diese Malware möglicherweise andere Malware auf dem betroffenen Computer hinterlassen. Führt heruntergeladene Dateien aus, deren bösartige Routinen vom betroffenen System angezeigt werden.
Detalhes técnicos
Übertragungsdetails
Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Program Files%\Common Files\Microsoft Shared\DW\NetworkDW20.exe
- %Program Files%\Common Files\Microsoft Shared\Database Replication\Resources\1033\resdllwzcnfrc.exe
- %Program Files%\Common Files\Microsoft Shared\MSDesigners7\Resources\1033\StudioVisual.exe
- %Program Files%\Common Files\Microsoft Shared\MSENV\EnvironmentMicrosoft7.00.9064.9112.exe
- %Program Files%\Common Files\Microsoft Shared\TRANSLAT\ESEN\TranslationDictionaries.exe
- %Program Files%\Common Files\SpeechEngines\Microsoft\SR61\1033\EngineITNGRAM.exe
- %Program Files%\Common Files\System\MSMAPI\1033\OfficeMicrosoft1.0.2536.0.exe
- %Program Files%\Common Files\System\msadc\msadcoData.exe
- %Program Files%\MSN\MSNCoreFiles\POPCMicrosoftR.exe
- %Program Files%\Microsoft Office\MEDIA\OFFICE11\AUTOSHAP\versionMicrosoft.exe
- %Program Files%\Microsoft Office\OFFICE11\Migration\MIGRATEOffice11.0.5510.exe
- %Program Files%\Microsoft Office\OFFICE11\Migration\OfficeOffice11.0.5510.exe
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MicrosoftEnvironment = %Program Files%\common files\microsoft shared\msenv\environmentmicrosoft7.00.9064.9112.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MicrosoftOffice = %Program Files%\microsoft office\office11\migration\migrateoffice11.0.5510.ex
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MicrosoftOrganizer = %Program Files%\microsoft office\media\office11\autoshap\versionmicrosoft.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SPSRXUIMicrosoft = Program Files%\common files\speechengines\microsoft\sr61\1033\engineitngram.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
TranslationMicrosoft1021091 = %Program Files%\common files\microsoft shared\translat\esen\translationdictionaries.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware name} = {malware path and name}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
msdfmapMicrosoft = %Program Files%\common files\system\msadc\msadcodata.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
MicrosoftRMicrosoftR = %Program Files%\msn\msncorefiles\popcmicrosoftr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
MicrosoftVisual = %Program Files%\common files\microsoft shared\msdesigners7\resources\1033\studiovisual.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
OfficeMIGRATE = %Program Files%\microsoft office\office11\migration\officeoffice11.0.5510.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
ReportingWatson = %Program Files%\common files\microsoft shared\dw\networkdw20.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
bjablr32emsmdb32 = %Program Files%\common files\system\msmapi\1033\officemicrosoft1.0.2536.0.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
{malware name} = {malware path and name}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
wzcnfrcwzcnfrc = %Program Files%\common files\microsoft shared\database replication\resources\1033\resdllwzcnfrc.exe
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
1 = {Random Hex Values}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
2 = {Random Hex Values}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
3 = {Random Hex Values}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
4 = {Random Hex Values}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
5 = {Random Hex Values}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
6 = {Random Hex Values}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
7 = {Random Hex Values}
Download-Routine
Öffnet Websites, um die folgenden Dateien herunterzuladen:
- http://{BLOCKED}place.biz/getfile.php
- http://{BLOCKED}place.biz/httpss/ldr123.php
Führt heruntergeladene Dateien aus, deren bösartige Routinen vom betroffenen System angezeigt werden.