DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Trojan-Downloader.Win32.VB

Erkennungsdatum 04/13/2010
Kategorie Trojan-Downloader
Plattform Win32
Beschreibung

Der Trojaner stellt sicher, dass versteckte Dateien nicht von Explorer.exe angezeigt werden können, indem die folgenden Systemregistrierungsschlüsselparameter geändert werden:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

"Versteckt" = "0"

"ShowSuperHidden" = "0"

Der Trojaner stellt außerdem sicher, dass Dateierweiterungen von Explorer.exe nicht angezeigt werden können, indem die folgenden Systemregistrierungsschlüsselparameter festgelegt werden:

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]

"HideFileExt" = "1"

Um zu verhindern, dass diese Parameter zurückgesetzt werden, deaktiviert der Trojaner "Ordneroptionen" in Explorer.exe, indem er den folgenden Systemregistrierungsschlüsselparameter festlegt:

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]

"NoFolderOptions" = "1"

Der Trojaner erstellt dann im Windows-Systemverzeichnis einen versteckten Ordner namens "psador18.dll":

% System% ðsàdîr18.dll

Die Datei enthält die folgenden E-Mail-Adressen:

ot01_***@mail.ru
ot02_***@mail.ru

Der Trojaner extrahiert auch ein Rootkit namens "psagor18.sys" aus seinem Körper. Diese Datei wird im Arbeitsverzeichnis des Trojaners abgelegt. Dieses Rootkit enthält Funktionen, die das Vorhandensein der Dateien "psador18.dll" und "AHTOMSYS19.exe" verbergen. Außerdem erhält der Trojaner die höchsten Systemprivilegien, wodurch es unmöglich wird, die Trojaner-Datei zu löschen oder Trojaner-Prozesse zu beenden.

Wenn das System heruntergefahren wird, wird diese Datei gelöscht, aber beim Neustart des Systems neu erstellt.

Der Trojaner verfolgt das Aussehen von Windows mit den folgenden Titeln:

NOD32 2.5 Kontrollzentrum

Сканер NOD32 потребованию – [Профиль центра управления – Локально]

Сканер NOD32 потребованию – [Профиль контекстного меню]

NOD32 – Предупреждение

Ппедуппеждение

Редактор конфиг
урации NOD32 – [Ohne Titel]

Антивирус Касперского Persönlich

0- выполняется проверка …

Карантин

Настройка обновления

Настройка карантина и резервного хранилища

Выберите файл для отправки на исследование

AVP.MessageDialog

AVP.MainWindow

AVP.Produkt_Notifikation

AVP.EinstellungenWindow

AVP.ReportWindow

Agnitum Outpost Firewall – Konfiguration.cfg

Настройка системы

Редактор реестра

RegEdit_RegEdit

Wenn der Trojaner solche Fenster erkennt, werden diese automatisch geschlossen.

Der Trojaner sucht auch nach Flash-Geräten. Wenn es solche Geräte erkennt, kopiert der Trojaner seinen Körper als "CDburn.exe" und erstellt eine Datei namens "autorun.inf", die einen Link zum Körper des Trojaners enthält. Dadurch wird sichergestellt, dass die Trojanerdatei automatisch jedes Mal gestartet wird, wenn das Gerät verbunden wird.

Der Trojaner sammelt auch E-Mail-Adressen vom Opfercomputer und sendet ihnen eine E-Mail-Nachricht. Die E-Mail hat eine leere Betreffzeile und folgende Inhalte:

Я незнаю ее там помоему небыло (((http://www.support.nl/) http://softclub.land.ru/seeing/katie.rar

Link zum Original
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen