W32/Hidrag.a - Malware

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	W32/Hidrag.a
Entdeckt am:	13/04/2005
Art:	File Infector
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	~ 36.352 Bytes
VDF Version:	6.30.00.93 - Wed, 13 Apr 2005 16:26 (GMT+1)

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Symantec: W32.Jeefo
   • Mcafee: W32/Jeefo
   • Kaspersky: Virus.Win32.Hidrag.a
   • TrendMicro: PE_JEEFO.A
   • F-Secure: Virus.Win32.Hidrag.a
   • Sophos: W32/Jeefo-A
   • Grisoft: Win32/Hidrag.A
   • Eset: Win32/Jeefo.A
   • Bitdefender: Win32.Jeefo.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

   Description

   W32/Hidrag.a is a non-dangerous memory resident virus that infects Win32 PE EXE files.

   The virus searches for files to infect and upon infection it encrypts part of the file.

   When an infected file is executed, it drops the first-generation infector in the Windows directory as svchost.exe, which is registered as "Power Manager" service (on Windows NT/2000/XP). The virus then executes the original file without manifesting itself in any way.

Dateien Es wird folgende Datei erstellt:

– %WINDIR%\svchost.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Hidrag.a

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.exe"
   • "DisplayName"="Power Manager"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the power save features of the computer."

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager\Enum]
   • "0"="Root\\LEGACY_POWERMANAGER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• PowerManagerMutant

String:
Des Weiteren enthält es folgende Zeichenkette:
• Hidden Dragon virus. Born in a tropical swamp.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 03 Apr 2007 08:55 (GMT+1)
Beschreibung geändert von Daniel Constantin am Tue, 03 Apr 2007 10:26 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück