 |
Technische Beschreibung:
|
Radoppan.T beendet folgende Systemprozesse sofern diese aktiv sind:
CCenter.exe
FrogAgent.exe
KRegEx.exe
KVCenter.kxp
KvMonXP.kxp
KVSrvXP.exe
KVXP.kxp
Logo_1.exe
Logo1_.exe
Mcshield.exe
msconfig.exe
naPrdMgr.exe
Rav.exe
Ravmon.exe
Ravmond.exe
RavmonD.exe
RavStub.exe
RavTask.exe
regedit.exe
Rundl132.exe
scan32.exe
taskmgr.exe
TBMon.exe
TrojDie.kxp
UIHost.exe
UpdaterUI.exe
VsTskMgr.exe
nebenbei sucht dieser Virus auch folgende Prozesse, die nun aufgelistete Begriffe
enthalten:
Duba
esteemprocs
IceSword
msctls_statusbar32
NOD32
pjf(ustc)
Symantec AntiVirus
System Safety Monitor
VirusScan
Winsock Expert
Wrapped gift Killer
diese Systemprozesse gehören zu Sicherheitsapplikationen wie beispielsweise
Antivirusprogramme oder auch Firewalls.
Art der Infektion
Radoppan.T sucht nach ausführbaren Dateien (.exe) in allen Laufwerken
(von C:/ bis Y:/). ist die Datei einmal infiziert so generiert dieser eine Datei
mit Namen: _DESKTOP.INI in welcher das Datum der Infektion eingetragen ist.
Radoppan.T infiziert HTML Erweiterungen welche folgenden Iframe Tag beinhalten:
<iframe src=****://www.acn/66/index.htm width="0" height="0"></iframe>
Radoppan.T generiert die folgenden Dateien:
SETUP.EXE - im Rootordner aller Laufwerke. Dieses ist eine Kopie des Virus
selbst.
AUTORUN.INF - im Rootordner aller Laufwerke. mit dieser Datei stellt dieser
Virus fest, dass er immer dann mitgeladen werden kann wenn andere Speichermedien
an den Computer angeschlossen werden; zum Beispiel ein USB Stick.
SPO0LSV.EXE - im Treiber Unterordner von Windows. Dieses ist eine Kopie des
Viruses.
Radoppan.T generiert folgende Einträge in der Windows Registry:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
svcshare = SYSTEMORDNER\ drivers\ spo0lsv.exe
Mittels Initiierung dieser Einträge versucht Radoppan.T sich immer dann
mit zu starten sobald auch Windows wird.
Radoppan.T versucht folgende Dateipfade innerhalb der Windows Registry zu löschen:
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ YLive.exe
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ yassistse
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ RavTask
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ McAfeeUpdaterUI
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ Network Associates Error
Reporting Service
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ ShStatEXE
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ kav
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ KAVPersonal50
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ KvMonXP
ebenso versucht er folgende Einträge zu beenden beziehungsweise zu löschen
die folgende Merkmale aufweisen:
ccEvtMgr
ccProxy
ccSetMgr
FireSvc
kavsvc
KPfwSvc
KVSrvXP
KVWSC
McAfeeFramework
McShield
McTaskManager
MskService
navapsvc
NPFMntor
RsCCenter
RsRavMon
Schedule
sharedaccess
SNDSrvc
SPBBCSvc
Symantec Core LC
wscsvc
Diese Pfade und Einträge innerhalb der Windows Registry gehören zu
Sicherheitsapplikationen.
Radoppan.T verbreitet sich selbst über Computernetzwerke in dem er sich
in spezieller Austauschordner (z.B. P2P) hinein kopiert. Dabei versucht der
folgende Liste von Passwörtern zu nutzen:
0, 000000, 007, 110, 111, 1111, 111111, 11111111, 112, 121212, 123, 123123,
1234, 12345, 123456, 1234567 , 12345678, 123456789, 1234qwer , 123abc, 123asd,
123qwe, 1313, 2002, 2003, 2112, 2600, 5150, 520, 5201314, 54321, 654321, 6969,
7777, 88888888, 901100, a, aaa, abc, abc123, abcd, admin, admin$, admin123,
administrator, Administrator, alpha, asdf, baseball, ccc, computer, database,
enable, fish, fuck, fuckyou, god , godblessyou , golf, Guest, harley, home,
ihavenopass, letmein, login, Login, love, mustang, mypass, mypass123, mypc,
mypc123, owner, pass, passwd, password, pat, patrick, pc, pussy, pw, pw123,
pwd, qq520, qwer, qwerty, root, Root, server, shadow, super, sybase, temp, temp123,
test, test123, win , xp, xxx, yxcv, zxcv. [ Zurück zum Anfang ]
|
