Name:W32/Gobi.A
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~32.000 Bytes

 General Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Symantec: W32.Gobi
   •  Mcafee: W32/Gobi.a
   •  Kaspersky: Virus.Win32.Gobi.a
   •  Sophos: W32/Gobi-A
   •  Bitdefender: Win32.Gobi.A

File works interdependently with these components: (de)
   •  BDS/Small.CQ.1


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Infiziert Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer
Kann von Hackern oder Malware dazu benutzt werden, die Sicherheitseinstellungen herabzusetzen.

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\CKKILU101



Es werden folgende Dateien erstellt:

%TEMPDIR%\DABACKDOOR.EXE Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Small.CQ.1

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Die letzte section der Datei wurde modifiziert und enthält virulenten Code.


Stealth - Verschleierung:
 EPO (Entry Point Obscuring - Verschleiern des Einsprungspunkts) - Der ursprüngliche EP (Einsprungspunkt) bleibt gleich. Der Virus modifiziert den Programmcode so, dass er auf den virulenten Code weitergeleitet und dieser ausgeführt wird.


Selbst-Modifikation:

Polymorph - Der gesamte virulente Code verändert sich von einer Infektion zur nächsten. Der Virus enthält eine polymorphe Engine.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Infektionslänge:

etwa 32.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCR\exefile\shell\open\command]
   • @="%SYSDIR%\CKKILU101 \"%1\" %*"

Die Beschreibung wurde erstellt von Daniel Constantin am Donnerstag, 18. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Donnerstag, 18. Februar 2010

zurück . . . .