Hauptgruppierung: TrojWare
Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.
Kategorie: Trojan-Notifier
Schädliche Programme dieses Typs sind dazu bestimmt, Nachrichten zu senden, um den böswilligen Benutzer zu informieren, der es steuert, wenn ein infizierter Computer online ist. Der böswillige Benutzer erhält Informationen über den infizierten Computer, z. B. seine IP-Adresse, die Nummer des offenen Ports, E-Mail-Adressen usw. Die Informationen können mit einer Reihe von Methoden gesendet werden: E-Mail, eine speziell gestaltete Anfrage an den bösartigen gesendet Benutzer-Website oder über Instant Messaging.Notifier werden in Mehrkomponenten-Trojanern verwendet, um böswillige Benutzer über die erfolgreiche Installation von Schadprogrammen auf Opfercomputern zu informieren.
Mehr Informationen
Plattform: Win32
Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.Beschreibung
Technische Details
Dieser Trojaner informiert den böswilligen Remotebenutzer, dass eine Trojaner-Komponente erfolgreich auf dem Opfercomputer installiert wurde.
Das Programm ist eine Windows PE EXE-Datei. Es ist in Assembler geschrieben. Die Größe infizierter Dateien kann von 1600 Byte bis 4096 Byte variieren.
Nutzlast
Nach dem Start kopiert sich der Trojaner unter seinem ursprünglichen Dateinamen in das Windows-Stammverzeichnis:
% Windir%Es registriert sich dann in der Systemregistrierung:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]"laden" = "% Windir%" Dadurch wird sichergestellt, dass der Trojaner jedes Mal gestartet wird, wenn Windows auf dem Opfercomputer gestartet wird.
Alle fünf Sekunden überprüft der Trojaner die Verbindung zum Internet. Wenn eine Verbindung mit dem Internet hergestellt wird, öffnet der Trojaner die folgende URL:
http: //web.icq.com/whiteseiten/p *** _ me / .....Sobald diese URL geöffnet wurde, wird eine ICQ-Nachricht an den entfernten böswilligen Benutzer gesendet. Die Nachricht enthält die IP-Adresse, den Namen und den Benutzernamen des Opfercomputers. Diese Nachricht wird jedes Mal gesendet, wenn eine Verbindung zum Internet hergestellt wird.
Anweisungen zum Entfernen
Wenn Ihr Computer über kein aktuelles Antivirenprogramm verfügt oder über keine Antivirussoftware verfügt, führen Sie die folgenden Schritte aus, um das schädliche Programm zu löschen:
- Verwenden Sie den Task-Manager, um den Trojanerprozess zu beenden
- Löschen Sie die ursprüngliche Trojaner-Datei (die Position hängt davon ab, wie das Programm ursprünglich den Opfercomputer durchdrungen hat).
- Löschen Sie die folgende Datei:
% Windir%- Löschen Sie den folgenden Eintrag aus der Systemregistrierung:
[HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows]"laden" = "% Windir%" - Aktualisieren Sie Ihre Antiviren-Datenbanken und führen Sie eine vollständige Überprüfung des Computers durch ( laden Sie eine Testversion von Kaspersky Anti-Virus herunter ).
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com
Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!