DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win32.Initx

Kategorie Virus
Plattform Win32
Beschreibung

Technische Details

Initx ist ein harmloser per-process residenter Win32-Virus. Es infiziert Windows Portable ausführbare Dateien (PE) mit der Dateinamenerweiterung ".EXE". Der Virus besteht aus zwei Teilen: seiner Startroutine, die in infizierten Dateien gespeichert ist, und der DLL-Datei (Dynamic Link Library), die als "initx.dat" bezeichnet wird.

Replikation
Der Virus sucht nach geeigneten Dateien mit der Erweiterung ".EXE" in den Windows- und Windows-Systemverzeichnissen sowie allen Netzwerkfreigaben des Computers und versucht, sie zu infizieren. Wenn der Name des Computers in jedem Fall mit "CT" beginnt, repliziert der Virus nur in den freigegebenen Verzeichnissen.

Beim Infizieren einer Datei erstellt der Virus seine Kopie mit dem Namen "initx.dat" im Verzeichnis des Hosts. Dann fügt es seine 28 Byte lange Startroutine an den Codeabschnitt des Hosts an, so dass die Datei "initx.dat" als eine Bibliothek geladen wird, wenn eine infizierte Datei ausgeführt wird. Die Startroutine wird in den nicht verwendeten Bereich des Codeabschnitts eingefügt, sodass die Größe der Datei unverändert bleibt.

Der Infektionsprozess sieht so aus:

 Infiziertes Verzeichnis Opferverzeichnis
 ------------------ ----------------
  Datei1 Datei4
  Datei2 Datei5
  ... ...
  infizierte Datei.exe host.exe <--- ist infiziert von 
                                                       Schreiben des Startups 
                                                       Routine (28 Bytes)
                                                       zum Codeabschnitt
  initx.dat -> initx.dat <--- Kopie der Hauptdatei 
                                                       Teil des Virus

Nutzlast
Der Virus versucht, den Netzwerk-Host namens "ct" zu finden und eine Verbindung herzustellen. Wenn die Verbindung erfolgreich ist, überträgt sie den Namen des infizierten Computers an diesen Host. Es erstellt außerdem eine ausgeblendete Netzwerkfreigabe mit dem Namen "ADMIN $", der auf das Windows-Verzeichnis verweist.


Link zum Original