Name:W32/Xpaj.B
Entdeckt am:16/12/2009
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~145.000 Bytes
IVDF Version:7.09.01.114

 General Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Symantec: W32.Xpaj.B
   •  Mcafee: W32/Xpaj
   •  Eset: Win32/Goblin.B.Gen
   •  Bitdefender: Win32.XPaj.C


Betriebsysteme:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Infiziert Dateien

 Dateien Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\%Hexadezimale Zahl%.tmp
Dies ist die originale Dateiversion vor der Infektion.
%WINDIR%\%achtstellige zufällige Buchstabenkombination%.tmp

 Dateiinfektion Art des Infektors:

Eingebettet - Der Virus fügt seinen Code verteilt in die ganze Datei ein. (An einer oder mehreren Stellen)

Infector damaging sometimes (de)


Stealth - Verschleierung:
 EPO (Entry Point Obscuring - Verschleiern des Einsprungspunkts) - Der ursprüngliche EP (Einsprungspunkt) bleibt gleich. Der Virus modifiziert den Programmcode so, dass er auf den virulenten Code weitergeleitet und dieser ausgeführt wird.


Selbst-Modifikation:

Polymorph - Der gesamte virulente Code verändert sich von einer Infektion zur nächsten. Der Virus enthält eine polymorphe Engine.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Infektionslänge:

etwa 145.000 Bytes


Die folgenden Dateien sind infiziert:

Nach exaktem Pfad:
   • *.exe
   • *.scr
   • *.dll
   • *.sys

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%

 Hintertür Kontaktiert Server:
Den folgenden:
   • %zufällige Buchstabenkombination%.com/up.**********

Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • www.gracefullsystemupdate.com
   • microsoft.com
   • %zufällige Buchstabenkombination%.com

Die Beschreibung wurde erstellt von Daniel Constantin am Dienstag, 16. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Dienstag, 16. Februar 2010

zurück . . . .