Troj/Tofger-B

Befolgen Sie bitte die Anweisungen zum Entfernen von Trojanern.

Troj/Tofger-B ist ein Trojaner, der aus mehreren Komponenten besteht. Zu den Komponenten gehören ein Dropper, eine Backdoor-Trojaner-Komponente und eine Komponente zum Speichern von Tastenfolgen. Der Dropper heißt MSTASKS.EXE und kann auf den Computer des Opfers heruntergeladen und dort ausgeführt werden, wenn auf bestimmte infizierte HTML- oder PHP-Seiten zugegriffen wird (diese Skripte werden als VBS/Tofger-B erkannt). MSTASKS.EXE legt folgende Dateien ab: C:\<Windows>\MSTO32.DLL
C:\<Windows>\SYSTEM.EXE
C:\<Windows>\SYSINI.INI
C:\<Windows system>\SVCHOSTC.EXE
C:\<Windows system>\SVCHOSTS.EXE Außerdem führt MSTASKS.EXE die Datei C:\<Windows>\SYSTEM.EXE aus. MSTASKS.EXE fügt außerdem den folgenden Eintrag zur Registrierung hinzu, so dass SYSTEM.EXE beim Systemneustart gestartet wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Online Service
= C:\<Windows>\SYSTEM.EXE SYSTEM.EXE läuft als Dienste-Prozess im Hintergrund, öffnet Port 10002 und wartet auf Backdoor-Befehle von einem remoten Eindringling. MSTO32.DLL ist eine Komponente zum Speichern von Tastenfolgen des Trojaners und wird von SYSTEM.EXE aufgerufen. SYSTEM.EXE führt außerdem die Dateien SVCHOSTC.EXE und SVCHOSTS.EXE aus, bei denen es sich um legale Freeware Proxy HTTP und Socket-Server handelt. SYSTEM.EXE kann auch ein Fenster öffnen, das sich als Anmeldeseite für ein Internet-Bankkonto tarnt. Wird Text in diese gefälschte Anmeldeseite eingegeben, werden die Tastenfolgen gespeichert und möglicherweise per SMTP an eine externe E-Mail-Adresse gesendet. Der Trojaner kann ebenfalls mit einer remoten Website kommunizieren. Troj/Tofger-B versucht auch möglicherweise, EXE-Dateien aus dem Internet herunterzuladen und auszuführen.