Analysé par: Jasen Sumalapao   

 

ARC:RAR, ARC:[1.doc]:Embedded (Kaspersky), Trojan.ADH.2 (Symantec), Trojan.Win32.Generic!BT (Sunbelt), PUA.Win32.Packer.Armadillo-92 (Clamav), Trojan-Downloader, Trojan-Downloader (Ikarus), probably unknown NewHeur_PE virus, probably unknown NewHeur_PE virus (NOD32), New unknown virus W32/Obfuscated.D3!genr (Norman), [WINWORD.exe]:Suspicious file (Panda), is suspected of Trojan.Downloader.gen.h (VBA32)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Wird möglicherweise manuell von einem Benutzer installiert.

Verwendet gängige Symbole, damit der Benutzer sie für zulässige Dateien hält. Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

  Détails techniques

File size: 143,098 bytes
File type: EXE
Date de réception des premiers échantillons: 01 août 2012

Übertragungsdetails

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust folgende Komponentendateien ein:

  • %User Temp%\WINWORD.EXE
  • %User Temp%\1.doc

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Verwendet gängige Symbole, damit der Benutzer sie für zulässige Dateien hält.

Die eingeschleuste Datei wird in alle laufenden Prozesse injiziert.

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
load = %User Temp%\WINWORD.exe