TDSS
Tidserv, TDSServ, Alureon, Sisron, Malex, AdClicker, DNSChanger, Ertfor, Nvv
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Ändert Registrierungseinträge, um verschiedene Systemdienste zu deaktivieren. Dadurch können die meisten Systemfunktionen nicht verwendet werden.
Détails techniques
Installation
Schleust die folgenden Dateien ein:
- %Application Data%\Microsoft\{malware file name}.exe
- %User Temp%\{malware file name}.tmp
- %User Temp%\{malware file name}.exe
- %Windows%\{malware file name}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
maxhttpredirects = "{hex value}"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\Main\
featurecontrol\FEATURE_BROWSER_EMULATION
{executable name} = "{hex value}"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings
enablehttp1_1 = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\New Windows
PopupMgr = "Yes"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
UserID = "{hex numbers}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "{malware path and file name}"
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Styles
Ändert Registrierungseinträge, um die folgenden Systemdienste zu deaktivieren:
HKEY_USERS\.DEFAULT\Software\
Microsoft\Internet Explorer\International
acceptlanguage = "{local}"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\zones\3
CurrentLevel = "0"
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\zones\3
1601 = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"
Informationen über Varianten
Verfügt über folgende MD5-Hash-Werte:
- a494e72401f9205179e7bc37c438e820
- 15e776c63da8c6ee89794be9af13872b
- cc997c93ff7f09ffc0bc6c72e486b156
- f3eb06452e3c9889f3a18c2fa375c000