BKDR_REFROSO.VTH
Trojan:Win32/Comitsproc!gmb (Microsoft)
Windows
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Start Menu%\Programs\Startup\4d70261a3fd06681c7b11c7e97039966.exe
- %User Temp%\wendos.exe
(Hinweis: %Start Menu% ist der Ordner 'Startmenü' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü unter Windows NT und C:\Windows\Startmenü oder C:\Dokumente und Einstellungen\{Benutzername}\Startmenü unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
4d70261a3fd06681c7b11c7e97039966 = ""%User Temp%\wendos.exe" .."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
4d70261a3fd06681c7b11c7e97039966 = ""%User Temp%\wendos.exe" .."
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\4d70261a3fd06681c7b11c7e97039966
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Environment
SEE_MASK_NOZONECHECKS = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
ParseAutoexec = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\FirewallRules
{GUID} = "{version}|Action=Allow|Active=TRUE|Dir=In|Protocol={number}|Profile=Public|App=%User Temp%\wendos.exe|Name=wendos.exe|" (Windows Vista and higher versions)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Temp%\wendos.exe = "%User Temp%\wendos.exe:*:Enabled:wendos.exe" (Versions lower than Windows Vista)