BKDR_ANDROM.WSDM
Trojan:Win32/Remhead(Microsoft), PWSZbot-FTY(McAfee), Mal/Zbot-PK(Sophos), Trojan-Downloader.Win32.Dofoil(Ikarus), Win32/TrojanDownloader.Wauchos.Z trojan(Eset)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Löscht sich nach der Ausführung selbst.
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %ProgramData%\explorer.exe (Windows Vista and 7 only)
- %All Users Profile%\explorer.exe
- %All Users Profile%\{random}.exe
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Start WingMan Profiler = "%ProgramData%\explorer.exe" (Windows Vista and 7 only and if Java update is disabled in startup)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Start WingMan Profiler = "%All Users Profile%\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
540 = "%All Users Profile%\{random}.exe"
Andere Systemänderungen
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:Enabled:{malware file name}"
Andere Details
Löscht sich nach der Ausführung selbst.