//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
//start foreach
简体中文
Home
Vireninfos
DR/Sohanad.BM.157
Suche
Home
Support
Lösungen
Produkte
Downloads
Vireninfos
Statistiken
VDF Historie
Virenkunde
Datei-Upload
Sicherheits-News
In-the-Wild-Viren
Unternehmen
Presse
Partner
Newsletter
TechBlog
DR/Sohanad.BM.157 - Dropper
Siehe auch
Kurzfassung
Vollständig
Statistik
Wie würden Sie diese Information bewerten?
Wertlos
Hervorragend
Name:
DR/Sohanad.BM.157
Entdeckt am:
30/09/2009
Art:
Trojan
In freier Wildbahn:
Ja
Gemeldete Infektionen:
Niedrig bis mittel
Verbreitungspotenzial:
Niedrig bis mittel
Schadenspotenzial:
Niedrig bis mittel
Statische Datei:
Ja
Dateigröße:
529.920 Bytes
MD5 Prüfsumme:
ec80ba08fe2710d8ab5ad280f1b37137
IVDF Version:
7.01.06.59
- Wed, 30 Sep 2009 16:27 (GMT+1)
General
Aliases:
• Mcafee: W32/YahLover.worm
• Sophos: W32/SillyFDC-G
• Panda: W32/Hakaglan.A.worm
• Eset: Win32/Hakaglan.AH
• Bitdefender: Trojan.AutoIt.TD
Betriebsysteme:
• Windows 2000
• Windows XP
• Windows 2003
Auswirkungen:
• Lädt schädliche Dateien herunter
• Erstellt schädliche Dateien
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Dateien
Kopien seiner selbst werden hier erzeugt:
•
%WINDIR%
\RVHOST.exe
•
%SYSDIR%
\RVHOST.exe
Es wird folgende Datei erstellt:
–
%WINDIR%
\Tasks\At1.job
Es wird versucht die folgenden Dateien herunterzuladen:
– Die URL ist folgende:
• http://nhatquanglan2.0catch.com/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.
– Die URL ist folgende:
• http://www.freewebs.com/nhattruongquang/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.
– Die URL ist folgende:
• http://nhatquanglan2.0catch.com/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.
– Die URL ist folgende:
• http://www.freewebs.com/nhattruongquang/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.
Registry
Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Yahoo Messengger"="
%SYSDIR%
\RVHOST.exe"
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
• "DisableRegistryTools"=dword:0x00000001
• "DisableTaskMgr"=dword:0x00000001
Folgende Registryschlüssel werden geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Neuer Wert:
• "Shell"="Explorer.exe RVHOST.exe"
– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
Neuer Wert:
• "AtTaskMaxHours"=dword:0x00000000
• "NextAtJobId"=dword:0x00000003
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Neuer Wert:
• "NofolderOptions"=dword:0x00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
Neuer Wert:
• "GlobalUserOffline"=dword:0x00000000
Prozess Beendigung
Folgender Prozess wird beendet:
• taskmgr.exe
Datei Einzelheiten
Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.
Kurzfassung
hier
.
Beschreibung erstellt von Petre Galan am Fri, 05 Feb 2010 12:30 (GMT+1)
Beschreibung geändert von Petre Galan am Fri, 05 Feb 2010 12:34 (GMT+1)
»
Über Malware
»
Über Phishing
»
In-the-Wild-Viren
« zurück
Diese Seite drucken
HEUR/HTML.Malware
TR/Crypt.XPACK.Gen2
HTML/Crypted.Gen
W32/Sality.Y
ADSPY/AdSpy.Gen2
TR/Dldr.Agent.eckq
TR/PSW.Zbot.130048.Y
TR/Dldr.CodecPack.mhf
TR/FakeAV.LBQ
TR/KillAV.HP.1
Einfach aktuelle Nachrichten von Avira bekommen, als
Erkennt und entfernt bestimmte Malware und ihre Varianten.
Hier downloaden
Virenwarnung
auf Ihre Webseite einbinden
© 2010 Avira GmbH
Copyright
|
Datenschutz
|
Sitemap
|
Feedback
|
Impressum
|
FAQ
|
Kontakt
Vireninfos DR/Sohanad.BM.157
Diese Seite drucken
.gif)
