Analysé par: Oscar Celestino Angelo Abendan ll   
 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 reportedInfection:
 System Impact Rating: :
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Spyware

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.

  Détails techniques

File size: Varie
File type: PE
Memory resident: Oui

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Dateien ein:

  • %System%\msusb{random 3 characters}.dat
  • %System%\{random}.dat
  • %System%\msusbznx.dat

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Autostart-Technik

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv\Parameters
ServiceDll = "%Systemroot%\System32\msusb{random 3 characters}.dat"

(Note: The default value data of the said registry entry is %System%\wuauserv.dll.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\PnP
Security = "{random values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv\Parameters
Security = "{random values}"

Einschleusungsroutine

Schleust die folgenden Dateien ein, die zur Erfassung von Tastatureingaben verwendet werden:

  • %System%\drivers\{bc87739c-6024-412c-b489-b951c2f17000}.sys - detected by Trend Micro as TSPY_DERUSBI.E

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Entwendete Daten

Speichert die entwendeten Informationen in der folgenden Datei:

  • %Windows%\Temp\ziptmp$1.tmp21

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Andere Details

Die Hauptkomponente muss die vorgesehene Routine erfolgreich ausführen.

  Solutions

Moteur de scan minimum: 9.200
SSAPI Pattern File: 8.348.05
SSAPI Pattern Release Date: 11 août 2011
Participez à notre enquête!