BKDR_ZEGOST.JY
Backdoor:Win32/Zegost.AK(Microsoft),Trojan.Win32.Jorik.Yoddos.pjh(Kaspersky),BehavesLike.Win32.Malware.eah (mx-v)(Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Löscht sich nach der Ausführung selbst.
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %Program Files%\Internet Explorer\WivnHvelp32.exe
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32
ImagePath = "%Program Files%\Internet Explorer\WivnHvelp32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32
Type = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32
DisplayName = "Windvows Help System"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32
SYSTEM\CurrentControlSet\Services\WinHelpv32 = "Windows Help System for X32 windows desktop"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32\Security
Security = "{Hex values}"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinHelpv32\Security
Andere Details
Löscht sich nach der Ausführung selbst.