Analisado por: Christopher Daniel So   
 

Trojan.Win32.VB.etj (Kaspersky), W32/Emogen.ETJ!tr (Fortinet), Win32/VB.NPB trojan (Nod32)

 Plataforma:

Windows 2000, XP, Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Ändert Registrierungseinträge, um verschiedene Systemdienste zu deaktivieren. Dadurch können die meisten Systemfunktionen nicht verwendet werden.

Verbindet sich mit bestimmten URLs. Dadurch kann ein böswilliger Benutzer extern über die Installation informiert werden. Es können auch möglicherweise bösartige Dateien auf den Computer heruntergeladen werden, so dass das Risiko einer Infektion durch andere Bedrohungen erhöht wird. Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

  Detalhes técnicos

Tipo de compactação: 13,312 bytes
Tipo de arquivo: EXE
Compresión de archivo UPX
Residente na memória: Sim
Data de recebimento das amostras iniciais: 28 janeiro 2009

Andere Systemänderungen

Ändert Registrierungseinträge, um die folgenden Systemdienste zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ALG
Start = 4

(Note: The default value data of the said registry entry is 3.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = 4

(Note: The default value data of the said registry entry is 2.)

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

  • alg
  • SharedAccess

Download-Routine

Verbindet sich mit den folgenden bösartigen URLs:

  • http://xxx.{BLOCKED}5.com/html/tongji.htm

Zum Zeitpunkt der Fertigstellung dieses Dokuments sind die erwähnten Sites jedoch nicht zugänglich.

  Solução

Mecanismo de varredura mínima: 8.900
VSAPI OPR Pattern Version: 6.685.00
VSAPI OPR Pattern veröffentlicht am: 11 dezembro 2009
Participe da nossa pesquisa!