PE_SALITY.EN-3
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
File infector
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Infiziert Dateien dadurch, das Code im Einstiegspunkt ¨¹berschrieben und der ¨¹berschriebene Code im Virus selbst gespeichert wird. Anschlie?end wird der Virus an die Hostdatei angeh?ngt.
D¨¦tails techniques
Andere System?nderungen
F¨¹gt die folgenden Registrierungsschl¨¹ssel hinzu:
HKEY_CURRENT_USER\Software\winxp914
F¨¹gt die folgenden Registrierungseintr?ge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
?ndert die folgenden Registrierungseintr?ge, um Dateien mit dem Attribut 'Versteckt' zu verbergen:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(Note: The default value data of the said registry entry is 1.)
Erstellt den oder die folgenden Registrierungseintr?ge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
{malware path and name} = "{malware path and name}:*:Enabled:{infected file name}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and name} = "{malware path and name}:*:Enabled:ipsec"
Dateiinfektion
Infiziert Dateien dadurch, das Code im Einstiegspunkt ¨¹berschrieben und der ¨¹berschriebene Code im Virus selbst gespeichert wird. Anschlie?end wird der Virus an die Hostdatei angeh?ngt.