Name:W32/Crunk.A
Entdeckt am:29/01/2010
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~16.000 Bytes
Engine Version:8.2.1.156

 General Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Symantec: Bloodhound.W32.2
   •  Kaspersky: Virus.Win32.Crunk.b
   •  Eset: Win32/Crunk.B

Ähnliche Erkennung:
   •  W32/Crunk.B


Betriebsysteme:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Infiziert Dateien

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Die letzte section der Datei wurde modifiziert und enthält virulenten Code.

Beschädingung - Die Dateien wurden beim Infizieren beschädigt. Die infizierten Dateien sind meist defekt.


Stealth - Verschleierung:
 EPO (Entry Point Obscuring - Verschleiern des Einsprungspunkts) - Der ursprüngliche EP (Einsprungspunkt) bleibt gleich. Der Virus modifiziert den Programmcode so, dass er auf den virulenten Code weitergeleitet und dieser ausgeführt wird.


Selbst-Modifikation:

Polymorph - Der gesamte virulente Code verändert sich von einer Infektion zur nächsten. Der Virus enthält eine polymorphe Engine.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Infektionslänge:

etwa 16.000 Bytes


Die folgenden Dateien sind infiziert:

Nach exaktem Pfad:
   • *.exe
   • *.scr

Dateien in folgenden Verzeichnissen:
   • %aktuelles Verzeichnis%

 Diverses String:
Des Weiteren enthält es folgende Zeichenkette:
   • Crank by m1x


Anti Debugging
Es wird überprüft ob eine der folgenden Dateien vorhanden ist:
   • \\.\SICE
   • \\.\NTICE

Folgende Dateien werden gelöscht:

   • %Wurzelverzeichnis des Systemlaufwerks%\*.*
   • %aktuelles Verzeichnis%\*.*

Die Beschreibung wurde erstellt von Daniel Constantin am Freitag, 5. März 2010
Die Beschreibung wurde geändert von Daniel Constantin am Freitag, 5. März 2010

zurück . . . .