Name:W32/Vasor.A
Entdeckt am:28/07/2009
Art:File Infector
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~100.000 Bytes
IVDF Version:7.01.05.39 - Dienstag, 28. Juli 2009

 General Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Symantec: W32.Vasor
   •  Mcafee: W32/Vasor.a
   •  Kaspersky: Worm.Win32.Vasor.17400
   •  VirusBuster: Worm.Vasor.A
   •  Eset: Win32/Vasor.B
   •  Bitdefender: Win32.Vasor.A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\svchost.exe

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Infector adds the following sections: (de)
   • NLDR
   • NEXE


Stealth - Verschleierung:
 Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslänge:

etwa 100.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%TEMPDIR%\svchost.exe"="%TEMPDIR%\svchost.exe:*:Enabled:Krosavcheg"

 Hintertür Der folgende Port wird geöffnet:

%TEMPDIR%\svchost.exe am TCP Port 27150 um Backdoor Funktion zur Verfügung zu stellen.

 Diverses Netzwerk Shares:
Folgendes geshartes Netzlaufwerk wird erstlelt:
   • vTask$


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Freitag, 12. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Montag, 15. Februar 2010

zurück . . . .