DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win32.Alman

Erkennungsdatum 06/19/2007
Kategorie Virus
Plattform Win32
Beschreibung

Der Virus infiziert alle schreibbaren Windows-ausführbaren Dateien (PE-EXE) auf allen Festplatten des Opfer-Computers und in zugänglichen Netzwerkordnern. Der Virus infiziert keine Dateien mit den folgenden Namen:

 wooolcfg.exe



woool.exe



ztconfig.exe



patchupdate.exe



trojankiller.exe



xy2player.exe



flyff.exe



xy2.exe



au_unins_web.exe



cabal.exe



cabalmain9x.exe



cabalmain.exe



meteor.exe



patcher.exe



mjonline.exe



config.exe



zuonline.exe



userpic.exe



main.exe



dk2.exe



autoupdate.exe



dbfsupdate.exe



asktao.exe



sealspeed.exe



xlqy2.exe



Spiel.exe



wb-service.exe



nbt-dragonraja2006.exe



dragonraja.exe



mhclient-connect.exe



hs.exe



mts.exe



gc.exe



zfs.exe



neu.exe



maplestory.exe



nsstarter.exe



nmcosrv.exe



ca.exe



nmservice.exe



kartrider.exe



audition.exe



zhengtu.exe 

Der Virus schreibt seine ausführbare Datei an den Anfang der infizierten Datei und verschiebt den ursprünglichen Inhalt der Datei nach unten.

Um Dateien zu infizieren, die sich in Netzwerkordnern befinden, versucht der Virus über das Administratorkonto und eines der folgenden Kennwörter eine Verbindung zu Remotecomputern herzustellen:

 zxcv



qazwsx



qaz



qwer



! @ # $% ^ & * ()



! @ # $% ^ & * (



! @ # $% ^ & *



! @ # $% ^ &



! @ # $% ^



! @ # $%



aasdf 



sdfgh



! @ # $



654321



123456



12345



1234



123



111 

Der Virus sendet auch Informationen an die entfernte bösartige Benutzer-Site über die Menge an freiem Speicherplatz auf der C-Platte, die Betriebssystem- und Internet Explorer-Versionen auf dem Opferrechner und über das Vorhandensein von Treibern im System, die einen der aufgeführten Namen haben unten:

 Haken



KWatch3



Kredex



KLPF



NaiAvFilter1



NAVAP



AVGNTMGR



Durchschn



nod32drv



PavProtect



TMFilter



BDFsDrv



VETFDDNT 

Diese Informationen werden in der folgenden Anfrage an die Site des entfernten böswilligen Benutzers gesendet:

 http: //****mrw0rldwide.com/co.asp?action=post&HD = <Menge an freiem Speicherplatz> & OT = <Betriebssystemversion> & IV = <Version von Internet Explorer> & AV = <installierte Treiber> 

Der Virus erhält auch eine Liste von Dateien, die über den folgenden Link heruntergeladen werden können:

http: //****mrw0rldwide.com/z.dat

Anschließend lädt es Dateien aus der Liste herunter, speichert sie im temporären Windows-Verzeichnis und startet sie zur Ausführung.

Zum Zeitpunkt des Schreibens lud der Virus Dateien von den folgenden Links herunter:

 http: //down****net/css.jpg



http://down****net/wow.jpg 

und speicherte sie wie unten gezeigt:

% Temp% css.jpg – Diese Datei hat eine Größe von 62 792 Byte. Es wird von Kaspersky Anti-Virus als Trojan-PSW.Win32.OnLineGames.afd erkannt.

% Temp% wow.jpg – diese Datei hat eine Größe von 40 241 Bytes. Es wird von Kaspersky Anti-Virus als Trojan-PSW.Win32.WOW.sv erkannt.


Link zum Original