Antivirus and Security Software from Sophos

Troj/Haxdoor-AN

Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Betroffene Betriebssysteme Windows
Merkmale
  • Legt weitere Malware ab
  • Installiert sich in der Registrierung
Schutz erhältlich seit 04 November 2005 11:43:37 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

Troj/Haxdoor-AN ist ein Backdoortrojaner, der einem remoten Angreifer den Zugriff auf und die Steuerung über den Computer ermöglicht.

Troj/Haxdoor-AN enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Troj/Haxdoor-AN versucht, bestimmte Dienste im Zusammenhang mit Sicherheits- und Antivirenprogrammen zu beenden und kann versuchen, die Windows Firewall zu umgehen.

Troj/Haxdoor-AN versucht, Dateien von einem remoten Speicherort herunterzuladen und auszuführen. Troj/Haxdoor-AN ist ein Backdoortrojaner, der einem remoten Angreifer den Zugriff auf und die Steuerung über den Computer ermöglicht.

Troj/Haxdoor-AN enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Sobald Troj/Haxdoor-AN installiert wird, werden folgende Dateien erstellt:

<System>\sks2drvr.sys
<System>\sksdll.dll

Diese Dateien werden auch erkannt als Troj/Haxdoor-AN. Die Datei sks2drvr.sys ist ein Rootkit, der die Präsenz von Troj/Haxdoor-AN tarnen soll.

Einige der folgenden Registrierungseinträge werden erstellt, um Code auszuführen, der beim Start von sksdll.dll exportiert wurde:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sksdll
DllName
sksdll.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sksdll
Startup
sksdll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sksdll
Impersonate
1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sksdll
Asynchronous
1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sksdll
MaxWaut
1

HKLM\System\CurrentControlSet\Control\MPRServices\TestService
DllName
sksdll.dll

HKLM\System\CurrentControlSet\Control\MPRServices\TestService
EntryPoint
sksdll

HKLM\System\CurrentControlSet\Control\MPRServices\TestService
StackSize
0

Die Datei sks2drvr.sys wird als neuer Systemtreiber-Dienst namens "sks2drvr", mit dem Anzeigenamen "USB sks2drvr" registriert. Registrierungseinträge werden erstellt unter:

HKLM\SYSTEM\CurrentControlSet\Services\sks2drvr\

Troj/Haxdoor-AN versucht, bestimmte Dienste im Zusammenhang mit Sicherheits- und Antivirenprogrammen zu beenden, indem er Registrierungseinträge in folgendem Speicherort löscht:

HKLM\SYSTEM\CurrentControlSet\Services

Troj/Haxdoor-AN kann in folgendem Speicherort einen Registrierungseintrag einfügen, um die Windows Firewall zu umgehen:

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List\

Troj/Haxdoor-AN versucht, Dateien von einem remoten Speicherort herunterzuladen und auszuführen.

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer