Analyse von: MarfelTi   
 Geändert von:: Sabrina Lei Sioting

 Plattform:

Windows 2000, Windows XP, Windows Server 2003

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick


  Technische Details

Dateigröße: 55,808 bytes
Dateityp: DLL
Erste Muster erhalten am: 13 September 2011

Autostart-Technik

Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srv2DC
ImagePath = "%System Root%\system32\svchost.exe -k netsvcs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srv2DC
DisplayName = "srv2DC"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
srv2DC
default = "service"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
srv2DC

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srv2DC

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\GloballyOpenPorts\
List
67:UDP = "67:UDP:*:Enabled:DHCP Server"

Download-Routine

Öffnet die folgenden Websites, um Dateien herunterzuladen:

  • http://{BLOCKED}8.{BLOCKED}9.89.121/X