TROJ_SIREFEF.AFQ
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.
Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.
Détails techniques
Installation
Schleust folgende Komponentendateien ein:
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\@
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\n
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\@
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\n
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Erstellt die folgenden Ordner:
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\L
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\U
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\L
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\U
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Injiziert Code in die folgenden Prozesse:
- svchost.exe
- cmd.exe
- explorer.exe
Andere Systemänderungen
Löscht die folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Setup
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\windefend
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\iphlpsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\mpssvc
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Defender =
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MsMpSvc
Rootkit-Funktionen
Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.
Prozessbeendigung
Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:
- MsMpSvc
- windefend
- SharedAccess
- iphlpsvc
- wscsvc
- mpssvc
Andere Details
Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:
- http://{BLOCKED}counters.com/5699017-3C912481A04E584CDF231C519E1DF857/counter.img?theme={Random}&digits=10&siteId={Random}
Solutions
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von TROJ_SIREFEF.AFQ
- MAL_SIREF32
Step 3
Im abgesicherten Modus neu starten
Step 4
Diese Ordner suchen und löschen
- %System Root%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee
- %System Root%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee
Step 5
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TROJ_SIREFEF.AFQ entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!