TROJ_UPATRE.DFV

Ändert Zoneneinstellungen von Internet Explorer.

Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Löscht sich nach der Ausführung selbst.

Installation

Injiziert Threads in die folgenden normalen Prozesse:

• %System%\svchost.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Änderung der Startseite von Webbrowser und Suchseite

Ändert Zoneneinstellungen von Internet Explorer.

Download-Routine

Lädt die Datei von folgendem URL herunter und benennt sie um, wenn sie auf dem betroffenen System gespeichert wird:

• http://{BLOCKED}7.{BLOCKED}07.229.215/cuteg12.zip
• http://{BLOCKED}3.{BLOCKED}48.156.246/cuteg12.zip
• http://{BLOCKED}2.{BLOCKED}75.10.116/cuteg12.zip
• http://{BLOCKED}08{BLOCKED}117.68.78/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}22.201.61/cuteg12.zip
• http://{BLOCKED}09{BLOCKED}27.49.117/cuteg12.zip
• http://{BLOCKED}03{BLOCKED}129.197.50/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}22.201.222/cuteg12.zip
• http://{BLOCKED}12{BLOCKED}133.203.43/cuteg12.zip
• http://{BLOCKED}80{BLOCKED}233.123.210/cuteg12.zip
• http://{BLOCKED}5.{BLOCKED}4.159.18/cuteg12.zip
• http://{BLOCKED}86{BLOCKED}68.94.38/cuteg12.zip
• http://{BLOCKED}50{BLOCKED}129.49.11/cuteg12.zip
• http://{BLOCKED}03{BLOCKED}115.103.27/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}09.20.53/cuteg12.zip
• http://{BLOCKED}13{BLOCKED}92.138.154/cuteg12.zip
• http://{BLOCKED}2.{BLOCKED}15.76.211/cuteg12.zip
• http://{BLOCKED}8.{BLOCKED}2.233.105/cuteg12.zip
• http://{BLOCKED}4.{BLOCKED}41.130.9/cuteg12.zip
• http://{BLOCKED}2.{BLOCKED}60.64.45/cuteg12.zip
• http://{BLOCKED}94{BLOCKED}28.191.245/cuteg12.zip
• http://{BLOCKED}97{BLOCKED}210.199.21/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}21.147.66/cuteg12.zip
• http://{BLOCKED}8.{BLOCKED}08.101.67/cuteg12.zip
• http://{BLOCKED}99{BLOCKED}192.214.102/cuteg12.zip
• http://{BLOCKED}42{BLOCKED}47.213.123/cuteg12.zip
• http://{BLOCKED}09{BLOCKED}199.11.51/cuteg12.zip
• http://{BLOCKED}4.{BLOCKED}0.82.66/cuteg12.zip
• http://{BLOCKED}1.{BLOCKED}89.140.7/cuteg12.zip
• http://{BLOCKED}76{BLOCKED}101.135.103/cuteg12.zip
• http://{BLOCKED}6.{BLOCKED}49.248.235/cuteg12.zip
• http://{BLOCKED}1.{BLOCKED}02.193.210/cuteg12.zip
• http://{BLOCKED}1.{BLOCKED}46.105.164/cuteg12.zip
• http://{BLOCKED}9.{BLOCKED}39.120.43/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}21.195.6/cuteg12.zip
• http://{BLOCKED}16{BLOCKED}254.231.11/cuteg12.zip
• http://{BLOCKED}4.{BLOCKED}3.131.116/cuteg12.zip
• http://{BLOCKED}2.{BLOCKED}30.82.80/cuteg12.zip
• http://{BLOCKED}73{BLOCKED}248.31.6/cuteg12.zip
• http://{BLOCKED}9.{BLOCKED}.204.114/cuteg12.zip
• http://{BLOCKED}9.{BLOCKED}44.171.44/cuteg12.zip
• http://{BLOCKED}5.{BLOCKED}3.236.173/cuteg12.zip
• http://{BLOCKED}4.{BLOCKED}48.217.188/cuteg12.zip
• http://{BLOCKED}73{BLOCKED}216.247.74/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}8.30.156/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}7.144.177/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}49.142.189/cuteg12.zip
• http://{BLOCKED}5.{BLOCKED}35.104.170/cuteg12.zip
• http://{BLOCKED}8.{BLOCKED}0.242.203/cuteg12.zip

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• %User Temp%\zevahega.exe

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Trend Micro erkennt die heruntergeladene Datei als:

• TSPY_DYRE.JAN

Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Datendiebstahl

Folgende Daten werden gesammelt:

• Computer Name
• OS Version
• Service Pack

Andere Details

Löscht sich nach der Ausführung selbst.