TROJ_ADLOAD

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Default} = "{Malware Path and File name}"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{Default} = "{Malware Path and File name}"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\{random}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\{random}
lld = "{Date of Infection}"

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Access sites or redirect to other sites
• Delete Browser Helper Object (BHO)
• Download and execute arbitrary files
• Extract files
• Manage files/directories
• Perform shell command
• Register Browser Helper Object (BHO)

Datendiebstahl

Injiziert sich in die folgenden Webbrowser, um Suchvorgänge zu überwachen, die vom Benutzer bei den folgenden Suchmaschinen durchgeführt wurden:

• http://kr.altavista.com/web/results?
• http://kr.search.yahoo.com/search?
• http://kr.yahoo.com
• http://search.11st.co.kr/searchprdaction.tmall?
• http://search.daum.net/search?
• http://search.msn.co.kr/results.aspx?
• http://sp3.yousee.com
• http://www.daum.net
• http://www.google.co.kr/search?
• http://www.microsoft.com

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• http://stop.{BLOCKED}denerror.com/log{number}.php?cpid={value}
• http://stop.{BLOCKED}denerror.com/gnome.php?cpid={value}
• http://404.{BLOCKED}ebsitedatabase.com/gnome.php?cpid={value}
• http://{BLOCKED}0.com