Analysé par: Jasen Sumalapao   

 

Backdoor:Win32/Moudoor.C (Microsoft), Downloader (Symantec), Troj/Moudoor-A (Sophos), Gen:Variant.Strictor.4141 (FSecure), Trojan.Win32.Generic!BT (Sunbelt), PUA.Win32.Packer.Upx-28 (Clamav), W32/Farfli.OG (Fortinet), Win32.SuspectCrc (Ikarus), Win32/Farfli.OG trojan (NOD32), Trojan W32/Suspicious_Gen5.EZEZ (Norman)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Wird möglicherweise manuell von einem Benutzer installiert.

Löscht Registrierungseinträge, so dass einige Anwendungen und Programme nicht ordnungsgemäß ausgeführt werden.

  Détails techniques

File size: 90,624 bytes
File type: EXE
Date de réception des premiers échantillons: 18 juillet 2012

Übertragungsdetails

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Temp%\svohost.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Schleust folgende Dateien/Komponenten ein:

  • %User Temp%\auto.dat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Fügt sich in die folgenden Prozesse ein, die im Speicher des betroffenen Systems ausgeführt werden:

  • csrss.exe
  • lsass.exe

Beendet die Ausführung der zunächst ausgeführten Kopie und führt stattdessen die eingeschleuste Kopie aus.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Update = %User Temp%\svohost.exe

Andere Systemänderungen

Löscht die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
TabletWizard = %windir%\help\wizard.hta

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ctfmon.exe = %System%\ctfmon.exe