THEMEN

AntiVirus

w32.DisaCKT.B - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 DisaCKT.B  w32.DisaCKT.B  Wurm
Schaden Entdeckt Ermittelt
 Mittel  16.05.2008  16.05.2008
Größe Verbreitung Noch unterwegs
   mittel  Ja
Andere Namen
 
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :

DisaCKT.B ist ein Wurm, der bestimmte Änderungen in der Windows Datenbank vornimmt, welche den Computer davon abhalten, unter anderem, folgende Aktionen durchzuführen:
• Schnelles und gezieltes Suchen, da die Option ‚Suche’ des Start Menüs ausgeschaltet wurde
• Schnelles und zielgerichtetes Abspielen bzw. Zugreifen auf Dateien, da die Option ‚Run’ des Start Menüs ausgeschaltet ist
• Beobachten der aktuellen Prozesse über den Task Manager
• Veränderung der Konfigurationen der Ordner-Features

DisaCKT.B erreicht den Computer als eine Datei, deren Icon dem eines Word Dokuments sehr ähnlich ist. So halten User diese Datei für ein harmloses Dokument.
Verbreitet wird der Virus durch Laufwerke, die austauschbar sind und von mehreren Benutzern genutzt werden.

Technische Beschreibung:

DisaCKT.B ist einfach zu erkennen. Sobald der Virus den Computer angegriffen hat, nimmt er folgende Änderungen im Start Menü vor:
• Der Name des Start-Buttons wird mit NUM ersetzt.
• Der Virus fügt eine Kopie von sich selbst mit dem Namen Microsoft Office Word 2003.exe hinzu.
Im folgenden Bild sind beide Veränderungen zu erkennen:

Wirkungen:
DisaCKT.B führt folgende Aktionen durch:
• Der Virus nimmt folgenden Veränderungen im Start Menü vor:
- Der Name des Start-Buttons wird mit NUM ersetzt.
- Der Virus fügt eine Kopie von sich selbst mit dem Namen Microsoft Office Word 2003.exe hinzu.
Im folgenden Bild sind beide Veränderungen zu erkennen:

• Folgende Objekte können nicht mehr ausgeführt werden:
- Windows Registry Editor
- Task Manager, der eigentlich ermöglicht, dass laufende Prozesse angezeigt werden
- Ordner Einstellungen, was den User daran hindert, die Einstellungen der Ordner zu konfigurieren
- Die Option „Suche“ des Start Menüs, die eine zielgerichtete und schnelle Suche ermöglicht
- Die Option „Run“ des Start Menüs, die ein schnelles und zielgerichtetes Abspielen bzw. Zugreifen auf Dateien ermöglicht
- Befehlstaste
- Microsoft Management Console
- Group Policy Editor
- Die Wiederherstellung des Systems, welche die Einstellungen des Systems verändern kann

Ansteckungstaktik:
DisaCKT.B erstellt folgende Dateien, welche Kopien des Virus selbst sind:
• MY CV.EXE, im Verzeichnis des C: Laufwerks und im Windowsverzeichnis.
• MICROSOFT OFFICE WORD 2003.EXE, im Start Menü.

DisaCKT.B erstellt folgende Einträge in der Windows Datenbank:
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Mswinword = %windir%\My CV.exe
Wobei %windir% das Windowsverzeichnis ist.
Mit diesem Eintrag wird sicher gestellt, dass der Virus immer dann aktiviert wird, wenn Windows gestartet wird.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 1
So wird der Windows Registry Editor abgebrochen.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 1
So wird der Task Manager abgebrochen.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
So wird die Option “Suche” nicht im Start Menü angezeigt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoRun = 1
So wird die Option “Run” nicht im Start Menü angezeigt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1
So wird die Option “Ordner Einstellungen” nicht im Windows Explorer angezeigt.


• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ App Paths\ MSCONFIG.EXE
Path = %windir%\My CV.exe
Mit diesem Eintrag wird sicher gestellt, dass der Wurm immer dann aktiviert wird, wenn eine Wiederherstellung des System vollzogen wird.

Außerdem erstellt DisaCKT.B folgende Einträge in der Windows Datenbank um den User daran zu hindern, bestimmte Programme zu öffnen:
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun
1 = Regedit.exe
So kann der Windows Registry Editor nicht geöffnet werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun
2 = MSConfig.exe
So kann die Wiederherstellung des Systems nicht vollzogen werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun
3 = taskmgr.exe
So kann der Task Manager nicht geöffnet werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun
4 = MMC.exe
So kann die Microsoft Management Console nicht geöffnet werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun
5 = gpedit.msc
So kann der Group Policy Editor nicht geöffnet werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ DisallowRun
6 = Cmd.exe
So kann die Befehlstaste nicht benutzt werden.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
w32.DisaCKT.B Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.