Dieser Trojaner löscht sich direkt nach dem Starten und gibt keine Fehlermeldung oder ähnliches aus, dieses Verhalten sollte stutzig machen. Er öffnet den TCP-IP Port 30999 und lauscht auf diesem nach Befehlen des Angreifers. Der Trojaner kopiert sich in das Windows-System Verzeichnis unter den Namen "_Webcache_.exe" und ist 25184 Bytes groß.
Folgender Registry Eintrag wird angelegt um zu gewährleisten,
das der Trojaner bei jedem Start aktiviert wird.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WebAccelerator = _webcache_.exe
Dieser und die Datei im Systemverzeichnis sind zu löschen. Danke an "SnakeByte" für die Anlalyse und Bereitstellung zur Veröffentlichung auf trojaner-info.de