DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win32.TeddyBear

Kategorie Virus
Plattform Win32
Beschreibung

Technische Details

Dies ist ein parasitärer Windows-Virus mit Backdoor- Fähigkeit. Wenn eine infizierte Datei ausgeführt wird, übernimmt die Vireninstallationsroutine die Kontrolle, erstellt die DLLMGR.EXE-Datei im Windows-Systemverzeichnis und erstellt sie. Die DLLMGR.EXE-Datei ist ein reiner Viruscode, sie verbleibt als versteckte Anwendung im Windows-Speicher und registriert ihre Datei (DLLMGR.EXE) in der Systemregistrierung im Abschnitt "Auto-Run" (dadurch wird Windows geladen und ausgeführt Datei bei jedem Start):

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Teddybär = "xxxxDLLMGR.EXE"

Dabei steht "xxxx" für den Namen des Windows-Systemverzeichnisses.

Der Virus bleibt dann im Windows-Speicher und seine "Hintertür" -Routine übernimmt die Kontrolle. Diese Routine öffnet die Verbindung und wartet auf Befehle von einem entfernten Host, holt / sendet Dateien von / nach dort usw. Der Virus kann auch Dateien ausführen, die von einem Host gesendet werden (einschließlich einer Virusaktualisierung). Darüber hinaus enthält der Viruscode in der DLLMGR.EXE-Datei (die von der infizierten Datei auf das System abgelegt wurde) keinen Infektionscode. Die infizierende Routine wird vom Host heruntergeladen und ausgeführt. Die Infektions- und andere Virenroutinen sind eigenständige ausführbare Dateien und können vom Autor des Virus leicht aktualisiert werden. Eine sehr ähnliche Technologie wurde zum ersten Mal im Win95_Babylonia Windows-Virus verwendet.

Die bekannte Virusversion und Komponenten sind nur mit Win9x kompatibel und funktionieren nicht unter WinNT. Sie haben auch Fehler, die die Verbreitung des Virus in einigen Fällen verhindern. Trotzdem können neue Bugs-freie und NT-kompatible Komponenten vom Virenautor veröffentlicht werden.


Link zum Original