| Bezeichnung |
Name |
Typ |
| Alanchum.NX |
Trojan.Alanchum.NX |
Trojaner |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
19.01.2007 |
21.01.2007 |
| Größe |
Verbreitung |
Noch unterwegs |
| 54,435 Bytes |
gering |
Ja |
| Andere Namen |
| Gagar.CG |
|
|
 |
Symptome :
|
Dieser Schadcode von Alanchum.NX wurde als Trojaner
identifiziert. Alanchum.NX gehört zur Familie der Trojaner der massiv E-Mail
Spam versendet. Einmal installiert, sucht er den infizierten Computer nach E-Mail-Adressen
ab und versucht diese über eine geöffnete Verbindung auf einer Webseite
abzuspeichern.
zusätzlich birgt Alanchum.NX Rootkit Funktionalitäten welches es
ihm erlauben unerkannt Systemprozesse mit zu protokollieren. Alanchum.NX ist
dem bereits bekannten Trojaner Gagar.CG sehr ähnlich.
Alanchum.NX ist schwer zu identifizieren, da er keinerlei Warnhinweise auf
dem infizierten System hervorruft.
|
Technische Beschreibung:
|
Dieser Trojaner führt folgende Aktionen aus:
Alanchum.NX hat Rootkit Funktionalitäten welches es ihm erlauben unerkannt
Systemprozesse ( auch Windows Registryeinträge) mit zu protokollieren.
Er versendet massiv Emailspam. Einmal installiert, sucht er den infizierten
Computer nach E-Mail-Adressen ab und versucht diese über eine geöffnete
Verbindung auf einer Webseite abzuspeichern.
auch aktualisiert sich dieser Trojaner von der bekannten Webseite mit bereits
bestehenden E-Mail-Adressen welche dort hinterlegt sind. Nach dieser Aktualisierung
versucht er immer dann tätig zu werden alsbald auch der Computer Online
ist in dem er den gesamten Spam über das infizierte System ausliefert.
Art der Infektion:
Alanchum.NX generiert folgende Dateien im Windows-Systemordner:
GAME0.EXE.EXE - dieses ist eine Kopie des Trojaners.
TASKDIR.EXE - ist eine Kopie von "GAME0.EXE" welcher das Rootkit in
sich versteckt.
ADIR.DLL - diese Datei gehört zu den Rootkit von Alanchum.JF.
GAME4.EXE - diese Datei ist dafür verantwortlich, dass der Trojaner sich
updaten kann.
CLCBT.EXE - ist eine Kopie von "GAME4.EXE" welcher ebenso Teile des
Rootkits in sich versteckt.
GAME1.EXE - diese Datei dient als Mailserver.
GAME2.EXE - und diese Datei ist dafür verantwortlich E-Mail-Adressen zusammen
und an die Webseite zu senden.
GAME5.EXE.EXE - birgt einen Treiber.
SVCP.CSV - birgt Daten für die spezielle Konfiguration dieses Trojaners.
PEERS.INI - WINCOM32.SYS und ZLBW.DLL.
Alanchum.NX generiert folgende Einträge in der Windows Registry:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
taskdir = SYSTEMORDNER\taskdir.exe
Bei diesen Registry Einträgen versucht Alanchum.NX sicherzustellen, dass
er immer dann mitgeladen wird, wenn auch Windows als Betriebssystem geladen
wird:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
clcbt.exe = SYSTEMORDNER\clcbt.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
sysinter = SYSTEMORDNER\adirss.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
CTFMON.EXE = SYSTEMORDNER\ctfmon.exe
KEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_WINCOM32
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ wincom32
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Trojan.Alanchum.NX Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
