Trojan-Downloader.Win32.VB

Hauptgruppierung: TrojWare

Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.

Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.

Kategorie: Trojan-Downloader

Als Trojan-Downloader klassifizierte Programme laden neue Versionen von Schadprogrammen, einschließlich Trojanern und AdWare, auf die Opfercomputer herunter und installieren sie. Nach dem Herunterladen aus dem Internet werden die Programme gestartet oder in eine Liste von Programmen aufgenommen, die beim Hochfahren des Betriebssystems automatisch ausgeführt werden.

Informationen über die Namen und Standorte der heruntergeladenen Programme befinden sich im Trojaner-Code oder werden vom Trojaner aus einer Internet-Ressource (normalerweise einer Webseite) heruntergeladen.

Diese Art von bösartigem Programm wird häufig bei der Erstinfektion von Besuchern von Websites verwendet, die Exploits enthalten.

Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Der Trojaner stellt sicher, dass versteckte Dateien nicht von Explorer.exe angezeigt werden können, indem die folgenden Systemregistrierungsschlüsselparameter geändert werden:

Der Trojaner stellt außerdem sicher, dass Dateierweiterungen von Explorer.exe nicht angezeigt werden können, indem die folgenden Systemregistrierungsschlüsselparameter festgelegt werden:

Um zu verhindern, dass diese Parameter zurückgesetzt werden, deaktiviert der Trojaner "Ordneroptionen" in Explorer.exe, indem er den folgenden Systemregistrierungsschlüsselparameter festlegt:

Der Trojaner erstellt dann im Windows-Systemverzeichnis einen versteckten Ordner namens "psador18.dll":

Die Datei enthält die folgenden E-Mail-Adressen:

Der Trojaner extrahiert auch ein Rootkit namens "psagor18.sys" aus seinem Körper. Diese Datei wird im Arbeitsverzeichnis des Trojaners abgelegt. Dieses Rootkit enthält Funktionen, die das Vorhandensein der Dateien "psador18.dll" und "AHTOMSYS19.exe" verbergen. Außerdem erhält der Trojaner die höchsten Systemprivilegien, wodurch es unmöglich wird, die Trojaner-Datei zu löschen oder Trojaner-Prozesse zu beenden.

Wenn das System heruntergefahren wird, wird diese Datei gelöscht, aber beim Neustart des Systems neu erstellt.

Der Trojaner verfolgt das Aussehen von Windows mit den folgenden Titeln:

Wenn der Trojaner solche Fenster erkennt, werden diese automatisch geschlossen.

Der Trojaner sucht auch nach Flash-Geräten. Wenn es solche Geräte erkennt, kopiert der Trojaner seinen Körper als "CDburn.exe" und erstellt eine Datei namens "autorun.inf", die einen Link zum Körper des Trojaners enthält. Dadurch wird sichergestellt, dass die Trojanerdatei automatisch jedes Mal gestartet wird, wenn das Gerät verbunden wird.

Der Trojaner sammelt auch E-Mail-Adressen vom Opfercomputer und sendet ihnen eine E-Mail-Nachricht. Die E-Mail hat eine leere Betreffzeile und folgende Inhalte:

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com