DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Erkennungsdatum | 06/19/2007 |
Kategorie | Virus |
Plattform | Win32 |
Beschreibung |
Der Virus infiziert alle schreibbaren Windows-ausführbaren Dateien (PE-EXE) auf allen Festplatten des Opfer-Computers und in zugänglichen Netzwerkordnern. Der Virus infiziert keine Dateien mit den folgenden Namen: wooolcfg.exe woool.exe ztconfig.exe patchupdate.exe trojankiller.exe xy2player.exe flyff.exe xy2.exe au_unins_web.exe cabal.exe cabalmain9x.exe cabalmain.exe meteor.exe patcher.exe mjonline.exe config.exe zuonline.exe userpic.exe main.exe dk2.exe autoupdate.exe dbfsupdate.exe asktao.exe sealspeed.exe xlqy2.exe Spiel.exe wb-service.exe nbt-dragonraja2006.exe dragonraja.exe mhclient-connect.exe hs.exe mts.exe gc.exe zfs.exe neu.exe maplestory.exe nsstarter.exe nmcosrv.exe ca.exe nmservice.exe kartrider.exe audition.exe zhengtu.exe Der Virus schreibt seine ausführbare Datei an den Anfang der infizierten Datei und verschiebt den ursprünglichen Inhalt der Datei nach unten. Um Dateien zu infizieren, die sich in Netzwerkordnern befinden, versucht der Virus über das Administratorkonto und eines der folgenden Kennwörter eine Verbindung zu Remotecomputern herzustellen: zxcv qazwsx qaz qwer ! @ # $% ^ & * () ! @ # $% ^ & * ( ! @ # $% ^ & * ! @ # $% ^ & ! @ # $% ^ ! @ # $% aasdf sdfgh ! @ # $ 654321 123456 12345 1234 123 111 Der Virus sendet auch Informationen an die entfernte bösartige Benutzer-Site über die Menge an freiem Speicherplatz auf der C-Platte, die Betriebssystem- und Internet Explorer-Versionen auf dem Opferrechner und über das Vorhandensein von Treibern im System, die einen der aufgeführten Namen haben unten: Haken KWatch3 Kredex KLPF NaiAvFilter1 NAVAP AVGNTMGR Durchschn nod32drv PavProtect TMFilter BDFsDrv VETFDDNT Diese Informationen werden in der folgenden Anfrage an die Site des entfernten böswilligen Benutzers gesendet: http: //****mrw0rldwide.com/co.asp?action=post&HD = <Menge an freiem Speicherplatz> & OT = <Betriebssystemversion> & IV = <Version von Internet Explorer> & AV = <installierte Treiber> Der Virus erhält auch eine Liste von Dateien, die über den folgenden Link heruntergeladen werden können: http: //****mrw0rldwide.com/z.dat
Anschließend lädt es Dateien aus der Liste herunter, speichert sie im temporären Windows-Verzeichnis und startet sie zur Ausführung. Zum Zeitpunkt des Schreibens lud der Virus Dateien von den folgenden Links herunter: http: //down****net/css.jpg http://down****net/wow.jpg und speicherte sie wie unten gezeigt: % Temp% css.jpg – Diese Datei hat eine Größe von 62 792 Byte. Es wird von Kaspersky Anti-Virus als Trojan-PSW.Win32.OnLineGames.afd erkannt. % Temp% wow.jpg – diese Datei hat eine Größe von 40 241 Bytes. Es wird von Kaspersky Anti-Virus als Trojan-PSW.Win32.WOW.sv erkannt. |
Link zum Original |
|