TROJ_SIREFEF.AFQ
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
Sim
In the Wild:
Sim
Visão geral
Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Detalhes técnicos
Installation
Schleust folgende Komponentendateien ein:
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\@
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\n
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\@
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\n
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Erstellt die folgenden Ordner:
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\L
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\U
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\L
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\U
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Injiziert Code in die folgenden Prozesse:
- svchost.exe
- cmd.exe
- explorer.exe
Andere Systemänderungen
Löscht die folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Setup
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\windefend
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\iphlpsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mpssvc
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Defender =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MsMpSvc
Rootkit-Funktionen
Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.
Prozessbeendigung
Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:
- MsMpSvc
- windefend
- SharedAccess
- iphlpsvc
- wscsvc
- mpssvc
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- http://{BLOCKED}counters.com/5699017-3C912481A04E584CDF231C519E1DF857/counter.img?theme={Random}&digits=10&siteId={Random}
Solução
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von TROJ_SIREFEF.AFQ
- MAL_SIREF32
Step 3
Im abgesicherten Modus neu starten
Step 4
Diese Ordner suchen und löschen
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee
Step 5
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TROJ_SIREFEF.AFQ entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participe da nossa pesquisa!