Antivirus and Security Software from Sophos

Troj/Haxdoor-X

Alias
  • Trojan-Downloader.Win32.Agent.ix
  • StartPage-GH
Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Betroffene Betriebssysteme Windows
Schutz erhältlich seit 31 März 2005 13:15:17 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Befolgen Sie bitte die Anweisungen zum Entfernen von Trojanern.

Ändern Sie die Einstellungen in Ihrem Internet Explorer über Extras|Internetoptionen|Allgemein, um die Änderungen des Trojaners rückgängig zu machen.

Ersetzen Sie die Hosts-Datei mit einer Sicherungskopie oder bearbeiten Sie sie in Notepad, um auch hier die Veränderungen des Trojaners rückgängig zu machen.

Weitere Informationen

Troj/Haxdoor-X ist ein Multi-Komponenten-Downloader-Trojaner, der versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten.

Troj/Haxdoor-X verändert die HOSTS-Datei und die Einstellungen im Microsoft Internet Explorer, einschließlich Startseite und Sucheinstellungen, indem er an den folgenden Stellen in der Registrierung Werte verändert:

HKCU\Software\Microsoft\Internet Explorer\Main
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\Software\Microsoft\Internet Explorer\Main\
HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\Software\Microsoft\Internet Explorer\Search

Die Hauptkomponente von Troj/Haxdoor-X ist eine DLL, die typischerweise mspdnx.dll genannt wird. Diese DLL kann von der Treiberkomponente chgsprt.sys installiert werden.

Troj/Haxdoor-X kann im Adressenbereich des Explorer-Prozesses geladen werden.

Troj/Haxdoor-X versucht, seinen Downloader-Code in die folgenden Prozesse einzufügen, falls sie aktiv sind:

iexplore.exe
opera.exe
thebat.exe
outlook.exe
msn.exe
icq.exe
miranda.exe
Maxthon.exe
Firefox.exe
aol.exe
myie.exe
mozilla.exe

Der Trojaner versucht, die folgenden Dateien in den Windows-Systemordner herunterzuladen:

idchr2.dat
headr2.dat
chrr2.ini
cmdfl2.dat
tmpfile2.exe

Troj/Haxdoor-X kann eine neue Version der HOSTS-Datei herunterladen, um die zu ersetzen, die sich in <Windows-System>\drivers\etc\hosts befindet.

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer