Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Dzan.a
Entdeckt am:16/01/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigre:~65.000 Bytes
IVDF Version:6.37.00.172 - Dienstag, 16. Januar 2007

 General Verbreitungsmethode:
    Infiziert Dateien
   • Gemappte Netzlaufwerke


Aliases:
   •  Symantec: W32.Dizan
   •  Mcafee: W32/Dzan.b
   •  Kaspersky: Virus.Win32.Dzan.a
   •  Sophos: W32/Dzan-A
   •  VirusBuster: Win32.Dzan.A
   •  Eset: Win32/Dzan.A
   •  Bitdefender: Win32.Dzan.B


Betriebsysteme:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefhrliche Datei
Infiziert Dateien
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\mmc.exe

 Dateiinfektion Art des Infektors:

Appender - Der Virus hngt am Ende der infizierten Datei seinen Code an.
 Die letzte section der Datei wurde modifiziert und enthlt virulenten Code.

Beschdigung: Die Dateien wurden mglicherweise durch die Infizierung beschdigt.


Stealth - Verschleierung:
Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslnge:

etwa 61.000 Bytes


Die folgende Datei ist infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SYSTEM\CurrentControlSet\Services\mmc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\mmc.exe
   • "DisplayName"="Smart Card Supervisor"
   • "ObjectName"="LocalSystem"

[HKLM\SYSTEM\CurrentControlSet\Services\mmc\Security]
   • "Security"=%Hex Werte%

[HKLM\SYSTEM\CurrentControlSet\Services\mmc\Enum]
   • "0"="Root\\LEGACY_MMC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MMC]
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MMC\0000]
   • "Service"="mmc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Smart Card Supervisor"

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MMC\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="mmc"

 Hintertr Der folgende Port wird geffnet:

%SYSDIR%\mmc.exe am TCP Port 3000

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Mittwoch, 31. März 2010
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 31. März 2010

zurück . . . .