Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Dzan.a
Entdeckt am:16/01/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~65.000 Bytes
IVDF Version:6.37.00.172 - Dienstag, 16. Januar 2007

 General Verbreitungsmethode:
   • Infiziert Dateien
   • Gemappte Netzlaufwerke


Aliases:
   •  Symantec: W32.Dizan
   •  Mcafee: W32/Dzan.b
   •  Kaspersky: Virus.Win32.Dzan.a
   •  Sophos: W32/Dzan-A
   •  VirusBuster: Win32.Dzan.A
   •  Eset: Win32/Dzan.A
   •  Bitdefender: Win32.Dzan.B


Betriebsysteme:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Infiziert Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\mmc.exe

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Die letzte section der Datei wurde modifiziert und enthält virulenten Code.

Beschädigung: Die Dateien wurden möglicherweise durch die Infizierung beschädigt.


Stealth - Verschleierung:
Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslänge:

etwa 61.000 Bytes


Die folgende Datei ist infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\mmc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\mmc.exe
   • "DisplayName"="Smart Card Supervisor"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\mmc\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\mmc\Enum]
   • "0"="Root\\LEGACY_MMC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MMC]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MMC\0000]
   • "Service"="mmc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Smart Card Supervisor"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MMC\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="mmc"

 Hintertür Der folgende Port wird geöffnet:

%SYSDIR%\mmc.exe am TCP Port 3000

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Mittwoch, 31. März 2010
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 31. März 2010

zurück . . . .