Analysé par: kathleenno   
 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 reportedInfection:
 System Impact Rating: :
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Spyware

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

  Détails techniques

File size: 183,808 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 14 juin 2011

Installation

Schleust folgende Komponentendateien ein:

  • %System%\sys0mt7.bin\config.bin

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System%\sys0mt7.bin\sys0mt7.bin.exe

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %System Root%\sys0mt7.bin

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Injiziert sich selbst in die folgenden Prozesse, um speicherresident ausgeführt zu werden:

  • explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%System Root%\sys0mt7.bin\sys0mt7.bin.exe /q"

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • http://{BLOCKED}n/cp/gate.php
  • http://{BLOCKED}n/cp/gate.php