Analyse von: Erika Bianca Mendoza   

 Plattform:

Windows 2000, Windows XP, Windows Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Nein

  • In the wild::
    Ja

  Überblick

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installiert ein gefälschtes Antiviren-/Anti-Spyware-Programm. Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.

  Technische Details

Dateigröße: 236,532 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 28 April 2011

Übertragungsdetails

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust folgende nicht bösartigen Dateien ein:

  • %Documents and Settings%\All Users\Application Data\{random}
  • %UserProfile%\Templates\{random}

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CLASSES_ROOT\exefile\shell\
open\command
Default = {malware path and filename} -a "%1" %*

(Note: The default value data of the said registry entry is "%1" %*.)

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
Default = {malware path and filename} -a "C:\Program Files\Intern

(Note: The default value data of the said registry entry is Internet Explorer.)

Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:

HKEY_CLASSES_ROOT\.exe\shell\
open\command
Default = ""{malware path and filename}" -a "%1" %*"

HKEY_CURRENT_USER\Software\Classes\
.exe
Default = exefile

HKEY_CLASSES_ROOT\.exe\DefaultIcon
Default = %1

HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = "%1" %*

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
default = "%1" %*

HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = "%1" %*

HKEY_CLASSES_ROOT\exefile
Content Type = application/x-msdownload

HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe
Content Type = application/x-msdownload

HKEY_CURRENT_USER\Software\Classes\
.exe\DefaultIcon
Default = %1

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
Default = {malware path and filename} -a "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
IsolatedCommand = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
Default = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
IsolatedCommand = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile
Default = Application

HKEY_CURRENT_USER\Software\Classes\
exefile
Content Type = application/x-msdownload

HKEY_CURRENT_USER\Software\Classes\
exefile\DefaultIcon
Default = %1

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
Default = {malware path and filename} -a "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
IsolatedCommand = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
Default = "%1" %*

HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
IsolatedCommand = "%1" %*

Rogue-Antiviren-Routine

Installiert ein gefälschtes Antiviren-/Anti-Spyware-Programm.

Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.