TROJ_BSCOPE.JW
Backdoor:Win32/Moudoor.C (Microsoft), Downloader (Symantec), Troj/Moudoor-A (Sophos), Gen:Variant.Strictor.4141 (FSecure), Trojan.Win32.Generic!BT (Sunbelt), PUA.Win32.Packer.Upx-28 (Clamav), W32/Farfli.OG (Fortinet), Win32.SuspectCrc (Ikarus), Win32/Farfli.OG trojan (NOD32), Trojan W32/Suspicious_Gen5.EZEZ (Norman)
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Wird möglicherweise manuell von einem Benutzer installiert.
Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.
Détails techniques
Übertragungsdetails
Wird möglicherweise manuell von einem Benutzer installiert.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %User Temp%\svohost.exe
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Schleust folgende Dateien/Komponenten ein:
- %User Temp%\auto.dat
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Fügt sich in die folgenden Prozesse ein, die im Speicher des betroffenen Systems ausgeführt werden:
- csrss.exe
- lsass.exe
Beendet die Ausführung der zunächst ausgeführten Kopie und führt stattdessen die eingeschleuste Kopie aus.
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Update = %User Temp%\svohost.exe
Andere Systemänderungen
Löscht die folgenden Registrierungseinträge:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
TabletWizard = %windir%\help\wizard.hta
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ctfmon.exe = %System%\ctfmon.exe