Analyse von: Jed Valderama   
 Plattform:

Windows 2000, Windows XP, Windows Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Verwendet einen Dateinamen ähnlich dem einer rechtmäßigen Datei, damit Benutzer die Datei für rechtmäßig halten.

Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.

Diese Datei enthält einen URL, zu dem vermutlich eine Verbindung hergestellt wird, um andere Dateien herunterzuladen.

  Technische Details

Dateigröße: 77,454 bytes
Dateityp: Java Class, JAR
Erste Muster erhalten am: 07 September 2012

Installation

Erstellt die folgenden Ordner:

  • %User Temp%\hsperfdata_winxp

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verwendet einen Dateinamen ähnlich dem einer rechtmäßigen Datei, damit Benutzer die Datei für rechtmäßig halten.

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell\open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell\
open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
StubPath = "CMd /q /C start "" /I /B JAvAw.Exe -classpath "%User Temp%\jar_cache5906588338763665408.tmp" a"

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %User Temp%\hsperfdata_winxp\{random letters}.{random extension names}
  • %User Temp%\hsperfdata_winxp\{random filename}.exe
  • %User Temp%\hsperfdata_winxp\{random numbers}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.

Andere Details

Diese Datei enthält einen URL, zu dem vermutlich eine Verbindung hergestellt wird, um andere Dateien herunterzuladen. Zum Zeitpunkt der Fertigstellung dieses Dokuments enthält diese Datei folgende URL-Adressen:

  • youporn.com
  • go.com
  • orkut.com
  • hotfile.com
  • rapidshare.com
  • nytimes.com