TSPY_FAREIT.ZB
Troj/Agent-ZHJ (Sophos), W32/Kryptik.ALRY!tr (Fortinet), W32/Trojan3.ENR (FProt), Trojan-PWS.Multi (Ikarus), Trojan.Win32.Jorik.Fareit.adr (Kaspersky), PWS:Win32/Fareit (Microsoft), Win32/PSW.Fareit.A trojan (NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Spyware
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.
Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.
Détails techniques
Übertragungsdetails
Wird als Spam-Mail-Anhang durch andere Malware/Grayware/Spyware oder bösartige Benutzer übertragen.
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\WinRAR
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random values}"
Download-Routine
Öffnet die folgenden Websites, um Dateien herunterzuladen:
- http://{BLOCKED}dbeck.de/qE6.exe
- http://{BLOCKED}ie.com/PGLtvY.exe
- http://{BLOCKED}oast-rentals.net/WMEvFA.exe
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- %User Temp%\{random number}.exe
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.