Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Roron.50.A
Entdeckt am:10/07/2003
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
VDF Version:6.20.00.35 - Donnerstag, 10. Juli 2003
IVDF Version:6.20.00.35 - Donnerstag, 10. Juli 2003

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: W32/Oror.gen@MM virus
   •  Kaspersky: Email-Worm.Win32.Roron.50.a
   •  F-Secure: Email-Worm.Win32.Roron.50.a
   •  Sophos: W32/Oror-M
   •  Bitdefender: Win32.Roron.A@mm
     AVG: Worm/Opanki.AJ
   •  Panda: W32/Oror.Q
   •  Grisoft: I-Worm/Roron
   •  Eset: Win32/Roron.50.B worm
     Fortinet: suspicious
     Norman: Oror.AG


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

Nicht virulente Dateien:
   • %SYSDIR%\Syscnav_.def
   • %SYSDIR%\vancRun.vxd
   • %WINDIR%\cnav98.sys
   • %SYSDIR%\Syscnav_.def
   • %WINDIR%\Faith.ini

– Dateien fr temporren Gebrauch. Diese werden mglicherweise wieder gelscht.
   • %temp%/OAG3.tmp
   • %temp%/OAG4.tmp
   • %temp%/OAG5.tmp

%WINDIR%\Cmdcnav32.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%PROGRAM FILES%\Common Files\Common16.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\$winnt$.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Zu jedem Registry key wird je einer der Werte hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "run"="%SYSDIR%\$winnt$.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Common StartUp"="%PROGRAM FILES%\Common Files\Common16.exe"
   • "LoadSystem"="Cmdcnav32.exe powrprof.dll,LoadCurrentPwrScheme"



Die folgenden Registryschlssel werden hinzugefgt um die Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SOFTWARE\Classes\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

[HKCR\exefile\shell\open\command]
   • "(Default)"="Cmdcnav32.exe "%1" %*"

Die Beschreibung wurde erstellt von Wensin Lee am Dienstag, 5. März 2013
Die Beschreibung wurde geändert von Wensin Lee am Dienstag, 5. März 2013

zurück . . . .