BKDR_KELIHOS
Waledac
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Fügt die folgenden, möglicherweise bösartigen Dateien oder Dateikomponenten hinzu:
- {All User's Profile}\Application Data\boost_interprocess\{Date and Time of infection}\GoogleImpl
Erstellt die folgenden Ordner:
- %System Root%\All Users\Application Data\boost_interprocess
- %System Root%\All Users\Application Data\boost_interprocess\{current date and time}
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SmartIndex = "{malware path and file name}"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\Google
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_CURRENT_USER\Software\Google
ID = "50"
HKEY_CURRENT_USER\Software\Google
ID2 = "{random values}"
HKEY_CURRENT_USER\Software\Google
ID3 = "{random values}"
HKEY_CURRENT_USER\Software\Google
AppID = "{random characters}"
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:Enabled:{file name}"