Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Virut.CEE
Entdeckt am:21/06/2010
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigre:143360 Bytes
MD5 Prfsumme:bd55cdf096d39f047163390dd2be8d69
VDF Version:7.10.03.162
IVDF Version:7.10.08.131 - Montag, 21. Juni 2010

 Allgemein Verbreitungsmethode:
    Infiziert Dateien


Aliases:
   •  Mcafee: PWS-Zbot.gen.di
   •  Kaspersky: Packed.Win32.Krap.ar
   •  Bitdefender: Gen:Malware.Heur.iq0@bS!EvhcG
   •  Grisoft: Generic_r.AAJ
   •  Eset: Win32/Ramnit.A virus
     GData: Gen:Malware.Heur.iq0@bS!EvhcG
     DrWeb: Trojan.Inject.14349
     Norman: Trojan W32/Ramnit.W


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
Infiziert Dateien

 Dateien Es werden folgende Dateien erstellt:

%PROGRAM FILES%\Microsoft\WaterMark.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Dateiinfektion Art des Infektors:

Appender - Der Virus hngt am Ende der infizierten Datei seinen Code an.
 Die letzte section der Datei wurde modifiziert und enthlt virulenten Code.
Eine Section wird an die infizierte Datei angehngt.

Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe
   • *.dll
   • *.htm

Dateien in folgenden Verzeichnissen und deren Unterverzeichnissen:
   • %Laufwerk%

 Registry Folgender Registryschlssel wird gendert:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Neuer Wert:
   • "Userinit"="c:\windows\\system32\\userinit.exe,,C:\Program Files\\microsoft\\watermark.exe"

 Diverses Internetverbindung:
Um auf eine verfgbare Internetverbindung zu prfen werden folgende DNS Server kontaktiert:
   • erwbtkidthetcwerc.com
   • rvbwtbeitwjeitv.com
   • rterybrstutnrsbberve.com


Vortuschen einer vertrauenswrdigen Datei:
Sein Prozess gibt vor der folgende vertrauenswrdige Prozess zu sein: npswf32.dll

Die Beschreibung wurde erstellt von Wensin Lee am Donnerstag, 10. Mai 2012
Die Beschreibung wurde geändert von Wensin Lee am Donnerstag, 10. Mai 2012

zurück . . . .