TROJ_CMXYS.A

October 08, 2012

Analysis by: Roland Marco Dela Paz

Plate-forme:

Windows 2000, XP, Server 2003

Overall Risk:

Dommages potentiels: :

Distribution potentielle: :

reportedInfection:

Faible

Medium

Élevé

Critique

Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui

Détails techniques

File size: 208,896 bytes

File type: PE

Memory resident: Non

Date de réception des premiers échantillons: 30 septembre 2010

Installation

Fügt die folgenden Ordner hinzu:

%Program Files%\I-Tori
%Program Files%\I-Tori\net-warez
%Program Files%\I-Tori\net-warez\update

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Schleust die folgenden Dateien ein:

%Program Files%\I-Tori\net-warez\update\ie-ware.dll - also detected as TROJ_CMXYS.A
%Program Files%\I-Tori\net-warez\ie-ware.dll - also detected as TROJ_CMXYS.A
%Program Files%\I-Tori\net-warez\uninstall.exe - uninstall component
%Program Files%\I-Tori\net-warez\uninstall.bat - uninstall component

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Andere Systemänderungen

Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:

HKEY_CLASSES_ROOT\Interface\{0002DF05-0000-0000-C000-000000000046}\
TypeLib
@ = {5D52B60F-CCA8-4554-902F-06D3758F751C}

(Note: The default value data of the said registry entry is {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}.)

HKEY_CLASSES_ROOT\Interface\{D30C1661-CDAF-11D0-8A3E-00C04FC9E26E}\
TypeLib
@ = {5D52B60F-CCA8-4554-902F-06D3758F751C}

(Note: The default value data of the said registry entry is {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}.)

HKEY_CLASSES_ROOT\Interface\{D30C1661-CDAF-11D0-8A3E-00C04FC9E26E}\
TypeLib
Version = 1.0

(Note: The default value data of the said registry entry is 1.1.)

HKEY_CLASSES_ROOT\Interface\{EAB22AC1-30C1-11CF-A7EB-0000C05BAE0B}\
TypeLib
@ = {5D52B60F-CCA8-4554-902F-06D3758F751C}

(Note: The default value data of the said registry entry is {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}.)

HKEY_CLASSES_ROOT\Interface\{EAB22AC1-30C1-11CF-A7EB-0000C05BAE0B}\
TypeLib
Version = 1.0

(Note: The default value data of the said registry entry is 1.1.)

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CLASSES_ROOT\ieware.IEPlugin

HKEY_CLASSES_ROOT\ieware.IEPlugin.1

HKEY_CLASSES_ROOT\AppID\ieware.DLL

HKEY_CLASSES_ROOT\AppID\{5D52B60F-CCA8-4554-902F-06D3758F751C}

HKEY_CLASSES_ROOT\CLSID\{A9647484-125B-4CD9-B1B8-18F9456334F4}

HKEY_CLASSES_ROOT\Interface\{E6F362DD-68A9-410C-8765-D90BDFC3A808}

HKEY_CLASSES_ROOT\TypeLib\{5D52B60F-CCA8-4554-902F-06D3758F751C}

HKEY_CURRENT_USER\Software\I-Tori

HKEY_LOCAL_MACHINE\SOFTWARE\I-Tori

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A9647484-125B-4CD9-B1B8-18F9456334F4}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Net-warez

Solutions

Moteur de scan minimum: 8.900

VSAPI Pattern File: 7.504.01

VSAPI Pattern Release Date: 30 septembre 2010

VSAPI Pattern Release Date: 9/30/2010 12:00:00 AM

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Diesen Ordner suchen und löschen

[ learnMore ]

Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen. %Program Files%\I-Tori

Step 3

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

In HKEY_CLASSES_ROOT\
- ieware.IEPlugin.1
In HKEY_CLASSES_ROOT\AppID\
- ieware.DLL
In HKEY_CLASSES_ROOT\AppID\
- {5D52B60F-CCA8-4554-902F-06D3758F751C}
In HKEY_CLASSES_ROOT\CLSID\
- {A9647484-125B-4CD9-B1B8-18F9456334F4}
In HKEY_CLASSES_ROOT\Interface\
- {E6F362DD-68A9-410C-8765-D90BDFC3A808}
In HKEY_CLASSES_ROOT\TypeLib\
- {5D52B60F-CCA8-4554-902F-06D3758F751C}
In HKEY_CURRENT_USER\Software\
- I-Tori
In HKEY_LOCAL_MACHINE\SOFTWARE\
- I-Tori
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
- {A9647484-125B-4CD9-B1B8-18F9456334F4}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
- Net-warez

Registrierungsschlüssel löschen, die diese Malware/Grayware/Spyware erstellt hat:

Öffnen Sie den Registrierungs-Editor. Klicken Sie dazu auf Start>Ausführen, geben Sie regedit in das Textfeld ein, und drücken Sie die Eingabetaste.
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CLASSES_ROOT>
Suchen und löschen Sie den Schlüssel:
ieware.IEPlugin.1
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CLASSES_ROOT>AppID>
Suchen und löschen Sie den Schlüssel:
ieware.DLL
Suchen und löschen Sie den Schlüssel:
{5D52B60F-CCA8-4554-902F-06D3758F751C}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CLASSES_ROOT>CLSID>
Suchen und löschen Sie den Schlüssel:
{A9647484-125B-4CD9-B1B8-18F9456334F4}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CLASSES_ROOT>Interface>
Suchen und löschen Sie den Schlüssel:
{E6F362DD-68A9-410C-8765-D90BDFC3A808}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CLASSES_ROOT>TypeLib>
Suchen und löschen Sie den Schlüssel:
{5D52B60F-CCA8-4554-902F-06D3758F751C}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_CURRENT_USER>Software>
Suchen und löschen Sie den Schlüssel:
I-Tori
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_LOCAL_MACHINE>SOFTWARE>
Suchen und löschen Sie den Schlüssel:
I-Tori
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Browser Helper Objects>
Suchen und löschen Sie den Schlüssel:
{A9647484-125B-4CD9-B1B8-18F9456334F4}
Doppelklicken Sie im linken Fensterbereich des Registrierungs-Editors auf:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Uninstall>
Suchen und löschen Sie den Schlüssel:
Net-warez
Schließen Sie den Registrierungs-Editor.

Step 4

Diesen geänderten Registrierungswert wiederherstellen

[ learnMore ]

In HKEY_CLASSES_ROOT\Interface\{0002DF05-0000-0000-C000-000000000046}\TypeLib
- From: @={5D52B60F-CCA8-4554-902F-06D3758F751C}
  To: @={EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}
In HKEY_CLASSES_ROOT\Interface\{D30C1661-CDAF-11D0-8A3E-00C04FC9E26E}\TypeLib
- From: @={5D52B60F-CCA8-4554-902F-06D3758F751C}
  To: @={EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}
In HKEY_CLASSES_ROOT\Interface\{D30C1661-CDAF-11D0-8A3E-00C04FC9E26E}\TypeLib
- From: Version=1.0
  To: Version=1.1
In HKEY_CLASSES_ROOT\Interface\{EAB22AC1-30C1-11CF-A7EB-0000C05BAE0B}\TypeLib
- From: @={5D52B60F-CCA8-4554-902F-06D3758F751C}
  To: @={EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}
In HKEY_CLASSES_ROOT\Interface\{EAB22AC1-30C1-11CF-A7EB-0000C05BAE0B}\TypeLib
- From: Version=1.0
  To: Version=1.1

Step 5

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TROJ_CMXYS.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.

Participez à notre enquête!

TROJ_CMXYS.A

Détails techniques

Solutions

Ressources

Support

À propos de Trend

Siège social national