Analisado por: Cris Nowell Pantanilla   
 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Trojan

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

  Detalhes técnicos

Tipo de compactação: 779264 bytes
Tipo de arquivo: EXE
Residente na memória: Sim
Data de recebimento das amostras iniciais: 27 novembro 2014

Übertragungsdetails

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Installation

Schleust die folgenden Dateien ein und führt sie aus:

  • %Application Data%\SoftwareProtectionPlatform\sppc.exe
  • %System%\sppsrv.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %Application Data%\SoftwareProtectionPlatform

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
dumpdsvr = "%Application Data%\SoftwareProtectionPlatform\sppc.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Type = 10

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ImagePath = "%System%\sppsrv.exe -s"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DisplayName = "Windows Software Protection"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DependOnService = RPCSS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DependOnGroup = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Description = "This Windows service enables the download, installation and enforcement of digital licenses for Windows and Windows applications. If the service is disabled, the operating system and licensed applications may run in a notification mode. It is strongly recommended that you not disable the Software Protection service."