TROJ_STARTPA.ZH
Windows 2000, XP, Server 2003
Malware-Typ:
Trojan
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Ändert die Startseite im Internet Explorer des Benutzers. Dadurch verweist die Malware auf eine Website, die möglicherweise Malware enthält, so dass sich das Infektionsrisiko des betroffenen Computers erhöht.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Windows%\nvsvc32.exe
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "%Windows%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"
Änderung der Startseite von Webbrowser und Suchseite
Ändert die Startseite im Internet Explorer des Benutzers auf folgende Webseiten:
- http://{BLOCKED}turls.info
Andere Details
Setzt die Attribute der eingeschleusten Dateien Versteckt und System:
- {malware path and file name}
- %Windows%\nvsvc32.exe
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)