Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Virut.CEE
Entdeckt am:21/06/2010
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:143360 Bytes
MD5 Prüfsumme:bd55cdf096d39f047163390dd2be8d69
VDF Version:7.10.03.162
IVDF Version:7.10.08.131 - Montag, 21. Juni 2010

 Allgemein Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Mcafee: PWS-Zbot.gen.di
   •  Kaspersky: Packed.Win32.Krap.ar
   •  Bitdefender: Gen:Malware.Heur.iq0@bS!EvhcG
   •  Grisoft: Generic_r.AAJ
   •  Eset: Win32/Ramnit.A virus
   •  GData: Gen:Malware.Heur.iq0@bS!EvhcG
   •  DrWeb: Trojan.Inject.14349
   •  Norman: Trojan W32/Ramnit.W


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Infiziert Dateien

 Dateien Es werden folgende Dateien erstellt:

%PROGRAM FILES%\Microsoft\WaterMark.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Die letzte section der Datei wurde modifiziert und enthält virulenten Code.
– Eine Section wird an die infizierte Datei angehängt.

Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe
   • *.dll
   • *.htm

Dateien in folgenden Verzeichnissen und deren Unterverzeichnissen:
   • %Laufwerk%

 Registry Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Neuer Wert:
   • "Userinit"="c:\windows\\system32\\userinit.exe,,C:\Program Files\\microsoft\\watermark.exe"

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • erwbtkidthetcwerc.com
   • rvbwtbeitwjeitv.com
   • rterybrstutnrsbberve.com


Vortäuschen einer vertrauenswürdigen Datei:
Sein Prozess gibt vor der folgende vertrauenswürdige Prozess zu sein: npswf32.dll

Die Beschreibung wurde erstellt von Wensin Lee am Donnerstag, 10. Mai 2012
Die Beschreibung wurde geändert von Wensin Lee am Donnerstag, 10. Mai 2012

zurück . . . .