Analysé par: rolandde   

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview


  Détails techniques

File size: 57,262 bytes
File type: EXE
Date de réception des premiers échantillons: 30 janvier 2012

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %User Startup%\uqchowhg.exe
  • %Program Files%\{characters}uqchowhg.exe\uqchowhg.exe

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.. %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Schleust folgende nicht bösartige Datei ein:

  • %Program Files%\Internet Explorer\dmlconf.dat

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,,%Program Files%\{characters}uqchowhg.exe\uqchowhg.exe"

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Andere Systemänderungen

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\Internet Explorer\IEXPLORE.EXE = "%Program Files%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer"