Name:W32/Weird.e
Entdeckt am:09/11/2005
Art:File Infector
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:~20.000 Bytes
VDF Version:6.32.00.159

 General Aliases:
   •  Symantec: W32.Ganty.Worm
   •  Mcafee: W32/Gason
   •  Kaspersky: Virus.Win32.Weird.e
   •  Sophos: W32/Weird-E
   •  VirusBuster: Win32.Ganty
   •  Eset: Win32/Weird.E
   •  Bitdefender: Win32.Weird.E


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\McAfee.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "McAfee AntiVirus Shield"="%WINDIR%\\McAfee.exe"

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
Die letzte section der Datei wurde modifiziert und enthält virulenten Code.


Stealth - Verschleierung:
 Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslänge:

etwa 20.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Der Absender der Email ist folgender:
   • gandeson9871@**********


An:
Der Empfänger der Email ist folgender:
   • gandeson9871@**********


Betreff:
Folgende:
   • Please send email to %Name des Computers%


 Hintertür Der folgende Port wird geöffnet:

%ausgeführte Datei% am TCP Port 136 um Backdoor Funktion zur Verfügung zu stellen. Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Daniel Constantin am Dienstag, 2. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Dienstag, 2. Februar 2010

zurück . . . .