| Bezeichnung |
Name |
Typ |
| DisaCKT.B |
w32.DisaCKT.B |
Wurm |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
16.05.2008 |
16.05.2008 |
| Größe |
Verbreitung |
Noch unterwegs |
| |
mittel |
Ja |
| Andere Namen |
| |
|
|
 |
Symptome :
|
DisaCKT.B ist ein Wurm, der bestimmte Änderungen in der Windows Datenbank
vornimmt, welche den Computer davon abhalten, unter anderem, folgende Aktionen
durchzuführen:
• Schnelles und gezieltes Suchen, da die Option ‚Suche’ des
Start Menüs ausgeschaltet wurde
• Schnelles und zielgerichtetes Abspielen bzw. Zugreifen auf Dateien,
da die Option ‚Run’ des Start Menüs ausgeschaltet ist
• Beobachten der aktuellen Prozesse über den Task Manager
• Veränderung der Konfigurationen der Ordner-Features
DisaCKT.B erreicht den Computer als eine Datei, deren Icon dem eines Word Dokuments
sehr ähnlich ist. So halten User diese Datei für ein harmloses Dokument.
Verbreitet wird der Virus durch Laufwerke, die austauschbar sind und von mehreren
Benutzern genutzt werden.
|
Technische Beschreibung:
|
DisaCKT.B ist einfach zu erkennen. Sobald der Virus den Computer angegriffen
hat, nimmt er folgende Änderungen im Start Menü vor:
• Der Name des Start-Buttons wird mit NUM ersetzt.
• Der Virus fügt eine Kopie von sich selbst mit dem Namen Microsoft
Office Word 2003.exe hinzu.
Im folgenden Bild sind beide Veränderungen zu erkennen:
Wirkungen:
DisaCKT.B führt folgende Aktionen durch:
• Der Virus nimmt folgenden Veränderungen im Start Menü vor:
- Der Name des Start-Buttons wird mit NUM ersetzt.
- Der Virus fügt eine Kopie von sich selbst mit dem Namen Microsoft Office
Word 2003.exe hinzu.
Im folgenden Bild sind beide Veränderungen zu erkennen:
• Folgende Objekte können nicht mehr ausgeführt werden:
- Windows Registry Editor
- Task Manager, der eigentlich ermöglicht, dass laufende Prozesse angezeigt
werden
- Ordner Einstellungen, was den User daran hindert, die Einstellungen der Ordner
zu konfigurieren
- Die Option „Suche“ des Start Menüs, die eine zielgerichtete
und schnelle Suche ermöglicht
- Die Option „Run“ des Start Menüs, die ein schnelles und zielgerichtetes
Abspielen bzw. Zugreifen auf Dateien ermöglicht
- Befehlstaste
- Microsoft Management Console
- Group Policy Editor
- Die Wiederherstellung des Systems, welche die Einstellungen des Systems verändern
kann
Ansteckungstaktik:
DisaCKT.B erstellt folgende Dateien, welche Kopien des Virus selbst sind:
• MY CV.EXE, im Verzeichnis des C: Laufwerks und im Windowsverzeichnis.
• MICROSOFT OFFICE WORD 2003.EXE, im Start Menü.
DisaCKT.B erstellt folgende Einträge in der Windows Datenbank:
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Mswinword = %windir%\My CV.exe
Wobei %windir% das Windowsverzeichnis ist.
Mit diesem Eintrag wird sicher gestellt, dass der Virus immer dann aktiviert
wird, wenn Windows gestartet wird.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
System
DisableRegistryTools = 1
So wird der Windows Registry Editor abgebrochen.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
System
DisableTaskMgr = 1
So wird der Task Manager abgebrochen.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer
NoFind = 1
So wird die Option “Suche” nicht im Start Menü angezeigt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer
NoRun = 1
So wird die Option “Run” nicht im Start Menü angezeigt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer
NoFolderOptions = 1
So wird die Option “Ordner Einstellungen” nicht im Windows Explorer
angezeigt.
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ App
Paths\ MSCONFIG.EXE
Path = %windir%\My CV.exe
Mit diesem Eintrag wird sicher gestellt, dass der Wurm immer dann aktiviert
wird, wenn eine Wiederherstellung des System vollzogen wird.
Außerdem erstellt DisaCKT.B folgende Einträge in der Windows Datenbank
um den User daran zu hindern, bestimmte Programme zu öffnen:
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer\ DisallowRun
1 = Regedit.exe
So kann der Windows Registry Editor nicht geöffnet werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer\ DisallowRun
2 = MSConfig.exe
So kann die Wiederherstellung des Systems nicht vollzogen werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer\ DisallowRun
3 = taskmgr.exe
So kann der Task Manager nicht geöffnet werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer\ DisallowRun
4 = MMC.exe
So kann die Microsoft Management Console nicht geöffnet werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer\ DisallowRun
5 = gpedit.msc
So kann der Group Policy Editor nicht geöffnet werden.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer\ DisallowRun
6 = Cmd.exe
So kann die Befehlstaste nicht benutzt werden.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
w32.DisaCKT.B Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
