TROJ_AGENT.ICO
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installiert ein gefälschtes Antiviren-/Anti-Spyware-Programm. Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.
Détails techniques
Übertragungsdetails
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installation
Schleust folgende nicht bösartigen Dateien ein:
- %Documents and Settings%\All Users\Application Data\{random}
- %UserProfile%\Templates\{random}
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:
HKEY_CLASSES_ROOT\exefile\shell\
open\command
Default = {malware path and filename} -a "%1" %*
(Note: The default value data of the said registry entry is "%1" %*.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
Default = {malware path and filename} -a "C:\Program Files\Intern
(Note: The default value data of the said registry entry is Internet Explorer.)
Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:
HKEY_CLASSES_ROOT\.exe\shell\
open\command
Default = ""{malware path and filename}" -a "%1" %*"
HKEY_CURRENT_USER\Software\Classes\
.exe
Default = exefile
HKEY_CLASSES_ROOT\.exe\DefaultIcon
Default = %1
HKEY_CLASSES_ROOT\.exe\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
default = "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile
Content Type = application/x-msdownload
HKEY_CLASSES_ROOT\exefile\shell\
open\command
IsolatedCommand = "%1" %*
HKEY_CLASSES_ROOT\exefile\shell\
runas\command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe
Content Type = application/x-msdownload
HKEY_CURRENT_USER\Software\Classes\
.exe\DefaultIcon
Default = %1
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
Default = {malware path and filename} -a "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\open\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
Default = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
.exe\shell\runas\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile
Default = Application
HKEY_CURRENT_USER\Software\Classes\
exefile
Content Type = application/x-msdownload
HKEY_CURRENT_USER\Software\Classes\
exefile\DefaultIcon
Default = %1
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
Default = {malware path and filename} -a "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\open\
command
IsolatedCommand = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
Default = "%1" %*
HKEY_CURRENT_USER\Software\Classes\
exefile\shell\runas\
command
IsolatedCommand = "%1" %*
Rogue-Antiviren-Routine
Installiert ein gefälschtes Antiviren-/Anti-Spyware-Programm.
Zeigt gefälschte Warnungen vor Infektion an. Zeigt ein gefälschtes Suchergebnisse bezüglich des betroffenen Systems an. Nach Abschluss der Suche wird der Benutzer zum Kauf des Produkts aufgefordert. Wenn sich Benutzer zum Kauf des betrügerischen Produkts entschließen, werden sie auf eine Website geleitet, auf der vertrauliche Daten wie beispielsweise Kreditkartennummern erfragt werden.