Vollständige Virenbeschreibung

Name:	W32/Vetor.I
Entdeckt am:	24/11/2008
Art:	File Infector
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	47.579 Bytes
IVDF Version:	7.01.00.127 - Montag, 24. November 2008

General Aliases:
   • Mcafee: W32/Caveduck
   • Kaspersky: Virus.Win32.Agent.cb
   • F-Secure: Virus.Win32.Agent.cb
   • Sophos: W32/Vetor-I
   • Eset: Win32/Delf.NAP

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%ausgeführte Datei%

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Enum\Root\
   LEGACY_~%zufällige Buchstabenkombination%~]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\
   LEGACY_~%zufällige Buchstabenkombination%~\0000]
   • "Service"="~%zufällige Buchstabenkombination%~"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="~%zufällige Buchstabenkombination%~"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\
   LEGACY_~%zufällige Buchstabenkombination%~\0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="~%zufällige Buchstabenkombination%~"

– [HKLM\SYSTEM\ControlSet001\Services\
   ~%zufällige Buchstabenkombination%~]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%Hex Werte%
     "DisplayName"="~%zufällige Buchstabenkombination%~"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\ControlSet001\Services\
   ~%zufällige Buchstabenkombination%~\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\ControlSet001\Services\
   ~%zufällige Buchstabenkombination%~\Enum]
   • "0"="Root\\LEGACY_~%zufällige Buchstabenkombination%~\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
Die letzte section der Datei wurde modifiziert und enthält virulenten Code.

Stealth - Verschleierung:
Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.

Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.

Infektionslänge:

- 47579 Bytes

Ignoriert Dateien, die:

kleiner sind als: 100.000 Bytes

Die folgenden Dateien sind infiziert:

Nach Dateiname:
• *.exe,*.scr

Dateien in folgenden Verzeichnissen:
• %alle Verzeichnisse%

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• ~%zufällige Buchstabenkombination%~

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Montag, 1. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Dienstag, 2. Februar 2010

zurück . . . .