Analyse von: Cris Nowell Pantanilla   
 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

  Technische Details

Dateigröße: 779264 bytes
Dateityp: EXE
Speicherresiden: Ja
Erste Muster erhalten am: 27 November 2014

Übertragungsdetails

Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.

Installation

Schleust die folgenden Dateien ein und führt sie aus:

  • %Application Data%\SoftwareProtectionPlatform\sppc.exe
  • %System%\sppsrv.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %Application Data%\SoftwareProtectionPlatform

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
dumpdsvr = "%Application Data%\SoftwareProtectionPlatform\sppc.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Type = 10

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ImagePath = "%System%\sppsrv.exe -s"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DisplayName = "Windows Software Protection"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DependOnService = RPCSS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DependOnGroup = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Description = "This Windows service enables the download, installation and enforcement of digital licenses for Windows and Windows applications. If the service is disabled, the operating system and licensed applications may run in a notification mode. It is strongly recommended that you not disable the Software Protection service."