THEMEN

AntiVirus

W32.Radoppan.T - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Radoppan.T  W32.Radoppan.T  Virus
Schaden Entdeckt Ermittelt
 Mittel  15.01.2007  18.01.2007
Größe Verbreitung Noch unterwegs
 30,001 Bytes  mittel  Ja
Andere Namen
 
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
Hierbei handelt es sich um einen klassischen Virus (Radoppan.T ).Dieser infiziert Dateien und Ordner mit einer HTML Erweiterung.
Radoppan.T beendet unterschiedlichste Systemprozesse sowie Sicherheitsapplikationen wie beispielsweise Antivirenprogramme und Firewalls.

Dieser Virus verbreitet sich über Netzwerke in dem er sich in Austauschordnen von zum Beispiel Filesharingprogrammen hinein kopiert. Radoppan.T ist relativ einfach zu identifizieren da er die üblichen Windows Icons mit einem anderen Bild überschreibt. Auf diesem Bild ist ein kleiner Panda Baer zu erkennen.

Technische Beschreibung:
Radoppan.T beendet folgende Systemprozesse sofern diese aktiv sind:
CCenter.exe
FrogAgent.exe
KRegEx.exe
KVCenter.kxp
KvMonXP.kxp
KVSrvXP.exe
KVXP.kxp
Logo_1.exe
Logo1_.exe
Mcshield.exe
msconfig.exe
naPrdMgr.exe
Rav.exe
Ravmon.exe
Ravmond.exe
RavmonD.exe
RavStub.exe
RavTask.exe
regedit.exe
Rundl132.exe
scan32.exe
taskmgr.exe
TBMon.exe
TrojDie.kxp
UIHost.exe
UpdaterUI.exe
VsTskMgr.exe

nebenbei sucht dieser Virus auch folgende Prozesse, die nun aufgelistete Begriffe enthalten:
Duba
esteemprocs
IceSword
msctls_statusbar32
NOD32
pjf(ustc)
Symantec AntiVirus
System Safety Monitor
VirusScan
Winsock Expert
Wrapped gift Killer

diese Systemprozesse gehören zu Sicherheitsapplikationen wie beispielsweise Antivirusprogramme oder auch Firewalls.

Art der Infektion

Radoppan.T sucht nach ausführbaren Dateien (.exe) in allen Laufwerken (von C:/ bis Y:/). ist die Datei einmal infiziert so generiert dieser eine Datei mit Namen: _DESKTOP.INI in welcher das Datum der Infektion eingetragen ist.

Radoppan.T infiziert HTML Erweiterungen welche folgenden Iframe Tag beinhalten:
<iframe src=****://www.acn/66/index.htm width="0" height="0"></iframe>

Radoppan.T generiert die folgenden Dateien:

SETUP.EXE - im Rootordner aller Laufwerke. Dieses ist eine Kopie des Virus selbst.
AUTORUN.INF - im Rootordner aller Laufwerke. mit dieser Datei stellt dieser Virus fest, dass er immer dann mitgeladen werden kann wenn andere Speichermedien an den Computer angeschlossen werden; zum Beispiel ein USB Stick.
SPO0LSV.EXE - im Treiber Unterordner von Windows. Dieses ist eine Kopie des Viruses.

Radoppan.T generiert folgende Einträge in der Windows Registry:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
svcshare = SYSTEMORDNER\ drivers\ spo0lsv.exe
Mittels Initiierung dieser Einträge versucht Radoppan.T sich immer dann mit zu starten sobald auch Windows wird.

Radoppan.T versucht folgende Dateipfade innerhalb der Windows Registry zu löschen:

SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ YLive.exe
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ yassistse
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ RavTask
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ McAfeeUpdaterUI
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ Network Associates Error Reporting Service
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ ShStatEXE
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ kav
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ KAVPersonal50
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ KvMonXP

ebenso versucht er folgende Einträge zu beenden beziehungsweise zu löschen die folgende Merkmale aufweisen:
ccEvtMgr
ccProxy
ccSetMgr
FireSvc
kavsvc
KPfwSvc
KVSrvXP
KVWSC
McAfeeFramework
McShield
McTaskManager
MskService
navapsvc
NPFMntor
RsCCenter
RsRavMon
Schedule
sharedaccess
SNDSrvc
SPBBCSvc
Symantec Core LC
wscsvc
Diese Pfade und Einträge innerhalb der Windows Registry gehören zu Sicherheitsapplikationen.

Radoppan.T verbreitet sich selbst über Computernetzwerke in dem er sich in spezieller Austauschordner (z.B. P2P) hinein kopiert. Dabei versucht der folgende Liste von Passwörtern zu nutzen:
0, 000000, 007, 110, 111, 1111, 111111, 11111111, 112, 121212, 123, 123123, 1234, 12345, 123456, 1234567 , 12345678, 123456789, 1234qwer , 123abc, 123asd, 123qwe, 1313, 2002, 2003, 2112, 2600, 5150, 520, 5201314, 54321, 654321, 6969, 7777, 88888888, 901100, a, aaa, abc, abc123, abcd, admin, admin$, admin123, administrator, Administrator, alpha, asdf, baseball, ccc, computer, database, enable, fish, fuck, fuckyou, god , godblessyou , golf, Guest, harley, home, ihavenopass, letmein, login, Login, love, mustang, mypass, mypass123, mypc, mypc123, owner, pass, passwd, password, pat, patrick, pc, pussy, pw, pw123, pwd, qq520, qwer, qwerty, root, Root, server, shadow, super, sybase, temp, temp123, test, test123, win , xp, xxx, yxcv, zxcv.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
W32.Radoppan.T Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.