Hier handelt es sich um einen Passwortstealer. Er liest Passwörter ausdem System aus und verschickt diese Samstags, Dienstags undDonnerstags per E-Mail.
Nach dem Starten kopiert er sich in das Windows-System Verzeichnis:
C:\windows\system\msgsrv16.exe (29184 Bytes)
Außerdem fügt er folgende Eintragungen der Registry hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Msgsrv16="Msgsrv16"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Msgsrv16="Msgsrv16"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Msgsrv16="Msgsrv16"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Msgsrv16="Msgsrv16"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Msgsrv16="Msgsrv16"
Zum entfernen einfach die Datei msgsrv16.exe löschenund die Eintragungen in der Registry entfernen. Nach einem Neustart ist der Trojaner nicht mehr aktiv. Besten Dank an SnakeByte für die Analyse und Genehmigung zur Veröffentlichung auf trojaner-info !