Analyse von: Jennifer Gumban   
 

VBS/Kryptik.N (ESET), UDS:DangerousObject.Multi.Generic (Kaspersky)

 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Befindet sich möglicherweise auf einer Website und wird ausgeführt, wenn ein Benutzer auf diese Website zugreift.

Schleust Kopien von sich selbst in den allgemeinen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

Ändert Zoneneinstellungen von Internet Explorer.

Ändert bestimmte Registrierungseinträge, um versteckte Dateien auszublenden.

  Technische Details

Übertragungsdetails

Befindet sich möglicherweise auf einer Website und wird ausgeführt, wenn ein Benutzer auf diese Website zugreift.

Installation

Schleust die folgenden Dateien ein:

  • %Temp%\system32..exe
  • %Temp%\system32..vb

(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)

Schleust die folgenden Dateien ein und führt sie aus:

  • %Temp%\mshta.exe

(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Temp%\{Original File Name}

(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""

Schleust Kopien von sich selbst in den allgemeinen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

Verbreitung

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Andere Details

Ändert die folgenden Registrierungseinträge, um versteckte Dateien auszublenden:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(Note: The default value data of the said registry entry is "1".)