Trojan-Downloader.Win32.VB

Der Trojaner stellt sicher, dass versteckte Dateien nicht von Explorer.exe angezeigt werden können, indem die folgenden Systemregistrierungsschlüsselparameter geändert werden:

Der Trojaner stellt außerdem sicher, dass Dateierweiterungen von Explorer.exe nicht angezeigt werden können, indem die folgenden Systemregistrierungsschlüsselparameter festgelegt werden:

Um zu verhindern, dass diese Parameter zurückgesetzt werden, deaktiviert der Trojaner "Ordneroptionen" in Explorer.exe, indem er den folgenden Systemregistrierungsschlüsselparameter festlegt:

Der Trojaner erstellt dann im Windows-Systemverzeichnis einen versteckten Ordner namens "psador18.dll":

Die Datei enthält die folgenden E-Mail-Adressen:

Der Trojaner extrahiert auch ein Rootkit namens "psagor18.sys" aus seinem Körper. Diese Datei wird im Arbeitsverzeichnis des Trojaners abgelegt. Dieses Rootkit enthält Funktionen, die das Vorhandensein der Dateien "psador18.dll" und "AHTOMSYS19.exe" verbergen. Außerdem erhält der Trojaner die höchsten Systemprivilegien, wodurch es unmöglich wird, die Trojaner-Datei zu löschen oder Trojaner-Prozesse zu beenden.

Wenn das System heruntergefahren wird, wird diese Datei gelöscht, aber beim Neustart des Systems neu erstellt.

Der Trojaner verfolgt das Aussehen von Windows mit den folgenden Titeln:

Wenn der Trojaner solche Fenster erkennt, werden diese automatisch geschlossen.

Der Trojaner sucht auch nach Flash-Geräten. Wenn es solche Geräte erkennt, kopiert der Trojaner seinen Körper als "CDburn.exe" und erstellt eine Datei namens "autorun.inf", die einen Link zum Körper des Trojaners enthält. Dadurch wird sichergestellt, dass die Trojanerdatei automatisch jedes Mal gestartet wird, wenn das Gerät verbunden wird.

Der Trojaner sammelt auch E-Mail-Adressen vom Opfercomputer und sendet ihnen eine E-Mail-Nachricht. Die E-Mail hat eine leere Betreffzeile und folgende Inhalte: