Analyse von: Oscar Celestino Angelo Abendan ll   

 Plattform:

Windows 2000, Windows XP, Windows Server 2003

 Risikobewertung (gesamt):
 reportedInfection:
 Beeinträchtigung der Systemleistung ::
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Spyware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.

  Technische Details

Dateigröße: Variiert
Dateityp: PE
Speicherresiden: Ja

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Dateien ein:

  • %System%\msusb{random 3 characters}.dat
  • %System%\{random}.dat
  • %System%\msusbznx.dat

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv\Parameters
ServiceDll = "%Systemroot%\System32\msusb{random 3 characters}.dat"

(Note: The default value data of the said registry entry is %System%\wuauserv.dll.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\PnP
Security = "{random values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv\Parameters
Security = "{random values}"

Einschleusungsroutine

Schleust die folgenden Dateien ein, die zur Erfassung von Tastatureingaben verwendet werden:

  • %System%\drivers\{bc87739c-6024-412c-b489-b951c2f17000}.sys - detected by Trend Micro as TSPY_DERUSBI.E

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

  • %Windows%\Temp\ziptmp$1.tmp21

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Andere Details

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.

  Lösungen

Mindestversion der Scan Engine: 9.200
SSAPI Pattern-Datei: 8.348.05
SSAPI Pattern veröffentlicht am: 11 August 2011
Nehmen Sie an unserer Umfrage teil