Virus.Win32.Alman

Der Virus infiziert alle schreibbaren Windows-ausführbaren Dateien (PE-EXE) auf allen Festplatten des Opfer-Computers und in zugänglichen Netzwerkordnern. Der Virus infiziert keine Dateien mit den folgenden Namen:

 wooolcfg.exe



woool.exe



ztconfig.exe



patchupdate.exe



trojankiller.exe



xy2player.exe



flyff.exe



xy2.exe



au_unins_web.exe



cabal.exe



cabalmain9x.exe



cabalmain.exe



meteor.exe



patcher.exe



mjonline.exe



config.exe



zuonline.exe



userpic.exe



main.exe



dk2.exe



autoupdate.exe



dbfsupdate.exe



asktao.exe



sealspeed.exe



xlqy2.exe



Spiel.exe



wb-service.exe



nbt-dragonraja2006.exe



dragonraja.exe



mhclient-connect.exe



hs.exe



mts.exe



gc.exe



zfs.exe



neu.exe



maplestory.exe



nsstarter.exe



nmcosrv.exe



ca.exe



nmservice.exe



kartrider.exe



audition.exe



zhengtu.exe 

Der Virus schreibt seine ausführbare Datei an den Anfang der infizierten Datei und verschiebt den ursprünglichen Inhalt der Datei nach unten.

Um Dateien zu infizieren, die sich in Netzwerkordnern befinden, versucht der Virus über das Administratorkonto und eines der folgenden Kennwörter eine Verbindung zu Remotecomputern herzustellen:

 zxcv



qazwsx



qaz



qwer



! @ # $% ^ & * ()



! @ # $% ^ & * (



! @ # $% ^ & *



! @ # $% ^ &



! @ # $% ^



! @ # $%



aasdf 



sdfgh



! @ # $



654321



123456



12345



1234



123



111 

Der Virus sendet auch Informationen an die entfernte bösartige Benutzer-Site über die Menge an freiem Speicherplatz auf der C-Platte, die Betriebssystem- und Internet Explorer-Versionen auf dem Opferrechner und über das Vorhandensein von Treibern im System, die einen der aufgeführten Namen haben unten:

 Haken



KWatch3



Kredex



KLPF



NaiAvFilter1



NAVAP



AVGNTMGR



Durchschn



nod32drv



PavProtect



TMFilter



BDFsDrv



VETFDDNT 

Diese Informationen werden in der folgenden Anfrage an die Site des entfernten böswilligen Benutzers gesendet:

 http: //****mrw0rldwide.com/co.asp?action=post&HD = <Menge an freiem Speicherplatz> & OT = <Betriebssystemversion> & IV = <Version von Internet Explorer> & AV = <installierte Treiber> 

Der Virus erhält auch eine Liste von Dateien, die über den folgenden Link heruntergeladen werden können:

Anschließend lädt es Dateien aus der Liste herunter, speichert sie im temporären Windows-Verzeichnis und startet sie zur Ausführung.

Zum Zeitpunkt des Schreibens lud der Virus Dateien von den folgenden Links herunter:

 http: //down****net/css.jpg



http://down****net/wow.jpg 

und speicherte sie wie unten gezeigt:

% Temp% css.jpg – Diese Datei hat eine Größe von 62 792 Byte. Es wird von Kaspersky Anti-Virus als Trojan-PSW.Win32.OnLineGames.afd erkannt.

% Temp% wow.jpg – diese Datei hat eine Größe von 40 241 Bytes. Es wird von Kaspersky Anti-Virus als Trojan-PSW.Win32.WOW.sv erkannt.