DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win32.RemEx

Kategorie Virus
Plattform Win32
Beschreibung

Technische Details

Der Virus ist ziemlich groß – er ist in Microsoft Visual C ++ geschrieben und ist etwa 125K. Der ursprüngliche Viruscode belegt etwa 14K, GZIP-Routinen – 20K, C-Laufzeitbibliotheken – 40K. Andere Datenbereiche sind mit Viren / C ++ – Daten, Ressourcen usw. belegt.

Der Virus hat eine recht ungewöhnliche Struktur: Die infizierten Dateien enthalten Code- und Datensegmente sowie drei Ressourcen, die komprimierte ausführbare Dateien enthalten. Die erste Ressource enthält die standardmäßige NT4-PSAPI.DLL, die vom Virus für den Zugriff auf Prozesse im Systemspeicher verwendet wird.

Die zweite Ressource ist der ursprüngliche Viruscode selbst (einschließlich der gleichen komprimierten PSAPI.DLL in der Ressource). Diese Kopie des Virencodes wird als Originaldatei verwendet, um den Virus in das System zu installieren und EXE-Dateien zu infizieren.

Die dritte Ressource ist die Host-Datei, die extrahiert und dekomprimiert wird, wenn der Virus das Host-Programm ausführen muss.

System Registry: Während der Installation seines SYS-Treibers auf dem System verwendet der Virus die Standard-NT-API-Aufrufe. Dies führt dazu, dass das System die Virustreiber in der Systemregistrierung registriert – der HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemote Explorer wird erstellt.

Temporäre Dateien: Beim Komprimieren / Dekomprimieren von Dateien benötigt der Virus temporäre Dateien. Es erstellt sie im temporären Windows-Verzeichnis mit den zufälligen Namen ~ xxxdddd.TMP (wobei 'x' Buchstaben und 'd' Ziffern sind).

Fortsetzen

Der Virus ist der erste native "speicherresidente" NT-Infektor, also könnte er als Supervirus aussehen. Tatsächlich wurde der Virus von einigen Entwicklern der mittleren Ebene geschrieben, die Zugriff auf die NT DeviceDevelopmentKit-Dokumentation hatten.

Der Virus hakt kein NT-Ereignis, verwendet keine Netzwerkprotokolle, versucht nicht auf die Kennwörter zuzugreifen und verteilt seine Kopie nicht über das globale Netzwerk. Darüber hinaus haben die normalen parasitären DOS-Viren die gleichen Netzwerk-Ausbreitungsfähigkeiten wie dieser Virus – sie können auch Dateien auf entfernten freigegebenen Laufwerken infizieren, im Systemspeicher bleiben usw.

Dies ist nur ein Standard-Parasiten-Virus, aber mit NT-Service-Infektion Fähigkeit. Es ist nicht komplexer als einige andere bereits bekannte Windows-Viren und definitiv nicht komplexer als der bekannte BO-Trojaner (BackOrifice).

Dieser Virus ist kein Schock – es ist lang erwartete WindowsNT-Service-Virus.


Link zum Original