DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Kategorie
Trojan
Plattform
Win32

Hauptgruppierung: TrojWare

Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.

Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.

Kategorie: Trojan

Ein bösartiges Programm, das entwickelt wurde, um die Aktivitäten des Benutzers elektronisch auszuspionieren (Tastatureingaben abfangen, Screenshots erstellen, eine Liste aktiver Anwendungen aufzeichnen usw.). Die gesammelten Informationen werden auf verschiedene Arten an den Cyberkriminellen gesendet, einschließlich E-Mail, FTP und HTTP (indem Daten in einer Anfrage gesendet werden).

Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Technische Details

Dies ist das Win95 / 98 / ME Trojaner-Programm, das Xpresso Financial Information Desktop angreift (siehe http://www.spxpresso.com). Der Trojaner beabsichtigt, Finanztransaktionen zu modifizieren, wahrscheinlich, um diese Transaktion auf das Bankkonto des Hackers weiterzuleiten. Der Trojaner macht dies, indem er die Java-Laufzeitbibliothek beeinflusst, die vom Xpresso-Client verwendet wird, der in Java geschrieben ist.

Der Trojaner wurde nicht in virus-lab getestet, daher können wir keine Weiterleitung von Geldüberweisungen an Hacker oder andere Konten garantieren. Tatsache ist, dass der Trojaner Transaktionen abfängt und Daten in Transaktionssteuerungsblöcken ändert.

Der Trojaner wird an Win32 PE EXE-Dateien angehängt. Der Trojaner-Code wird am Ende der PE-EXE-Dateien in virusartiger Weise platziert. Wenn die betroffene Datei ausgeführt wird, erhält der Trojanercode die Kontrolle und installiert die Haupttrojaner-Komponente im System. Das Steuerelement wird dann an die Host-Datei zurückgegeben.

Der Trojaner kann andere PE EXE-Dateien nicht selbst beeinflussen. Es wurde eine spezielle "Trojan Trojan" -Komponente (Kommandozeilen-Win32-Anwendung) gefunden, die Trojaner-Code an Opfer-PE-EXE-Dateien auf Anfrage des Benutzers anschloss.

Bei der Installation in das System extrahiert der Trojaner seine Code-VxD-Komponente (Haupt-Trojaner-Komponente) und schreibt sie in die neu erstellte MSREBOOT.VXD-Datei in das Windows-Systemverzeichnis. Dieser VxD wird dann im Registrierungsschlüssel "VxD Services" registriert.

Dort sind auch mehr Schlüssel angelegt:

HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [Null-Länge Daten]
Start = 00
StaticVxD = "* REBOOT, MSREBOOT.VXD"

Der erste Schlüssel gibt das Datum an, an dem sich der Trojaner selbst vom System deinstalliert. Der Trojaner löscht dann seine VXD-Datei mit Nullen und löscht dann diese Datei.

Der zweite Schlüssel ist unbekannt.

Der dritte Schlüssel ist der Registrierungsschlüssel auto-load, der Windows dazu zwingt, die VXD-Datei zu laden und zu aktivieren, wenn Windows gestartet wird.

Wenn die Trojaner-VXD-Datei aktiviert ist, überwacht die Trojaner-Hauptprozedur den Dateieröffnungsprozess und sucht nach der Java-Laufzeitbibliothek JRT3230.DLL. Der Trojaner überspringt dann das Laden dieser Bibliothek, wartet, wenn das Laden beendet ist, und hakt die Java-Funktion "do_execute_java_method_vararg".

Die Nutte hakt dann alle Daten, die von dieser Funktion verarbeitet werden, einschließlich Banküberweisungen, die mit dem Xpresso-Client durchgeführt werden. Der Trojaner analysiert die Übertragungsanforderungsstruktur und ersetzt einige Felder in dieser Anforderung durch andere Werte. Es scheint, dass der Trojaner die ursprüngliche Zielbankkontonummer durch die des Hackers ersetzt.

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Confirm changes?
Your message has been sent successfully.