| Bezeichnung |
Name |
Typ |
| ManClick.B |
w32.ManClick.B |
Wurm |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
05.05.2008 |
05.05.2008 |
| Größe |
Verbreitung |
Noch unterwegs |
| |
gering |
Ja |
| Andere Namen |
| |
|
|
 |
Symptome :
|
Der Virus gibt sich als Original Google-Seite aus um den User zu täuschen. Er verändert Einträge in der Windows Datenbank, was den Computer daran hindert, einwandfrei zu funktionieren. Verbreitet wird der Virus durch Laufwerke, die austauschbar sind und von mehreren Benutzern genutzt werden.Der Virus gibt sich als Original Google-Seite aus um den User zu täuschen.
Um sein Ziel zu erreichen, zeigt er eine ähnliche Seite. Die Suchergebnisse
dieser Seite können zu tückischen Webseiten führen.
Dazu verändert der Virus Einträge in der Windows Datenbank, was den
Computer daran hindert, einwandfrei zu funktionieren, beispielsweise:
• Schnelles und gezieltes Suchen, da die Option ‚Suche’ des
Start Menüs ausgeschaltet wurde
• Schnelles und zielgerichtetes Abspielen bzw. Zugreifen auf Dateien,
da die Option ‚Run’ des Start Menüs ausgeschaltet ist
• Beobachten der aktuellen Prozesse über den Task Manager
• Veränderung der Konfigurationen der Ordner-Features
ManClick.B erreicht den Computer als eine Datei mit einem Icon, das dem des
Windows Ordners sehr ähnlich ist.
Verbreitet wird der Virus durch Kopien in Laufwerken, die austauschbar sind
und von mehreren Benutzern genutzt werden.
|
Technische Beschreibung:
|
ManClick.B kann man leicht erkennen, da er verschiedene Webseiten öffnet,
die die Google-Seite imitieren. Jedoch handelt es sich bei diesen Seiten nicht
um Google, was man an der URL in erkennen kann: http://clic<blocked>anu.com.
Das folgende Bild gehört zu der Internetseite, die anstatt Google angezeigt
wird:
ManClick.B führt folgende Aktionen durch:
• Wenn der Virus aktiviert wird, öffnet er verschiedene Internetseiten,
die angeblich die Google-Seite sein sollen.
• Jedoch handelt es sich bei diesen Seiten nicht um Google, was man an
der URL erkennen kann: http://clic<blocked>anu.com.
• Das folgende Bild gehört zu der Internetseite, die anstatt Google
angezeigt wird:
• Eine ähnliche Seite wird angezeigt und lässt den User in dem
Glauben, er surfe gerade auf der Original Google-Webseite.
• Das Ziel des Virus ist es, Suchergebnisse zu präsentieren, die
zu tückischen Webseiten verbinden. Auf diesen Webseiten kann Malware runtergeladen
oder vertrauliche Daten des Users können gestohlen werden.
Außerdem verändert der Virus bestimmte Einträge in der Windows
Datenbank des betroffenen Computers mit folgenden Konsequenzen:
• Er bricht folgende Objekte ab:
- Windows Registry Editor
- Task Manager, der eigentlich ermöglicht, dass laufende Prozesse angezeigt
werden
- Ordner Einstellungen, was den User daran hindert, die Einstellungen der Ordner
zu konfigurieren
- Die Option „Suche“ des Start Menüs, die eine zielgerichtete
und schnelle Suche ermöglicht
- Die Option „Run“ des Start Menüs, die ein schnelles und zielgerichtetes
Abspielen bzw. Zugreifen auf Dateien ermöglicht
• Der Virus verändert die Startseite des Internet Explorers und
verhindert daraufhin, diese zu ändern. Die neue Startseite lautet dann:
http://mye<blocked>ddy.com. Bei dieser Webseite handelt es sich um eine
Seite, die es ermöglicht, Cricket Spiele auf der ganzen Welt zu sehen
• Der Virus hindert den Computer daran, einen Sicherheitsstatus einzustellen.
• Außerdem verringert er die Sicherheitseinstellungen des Computers,
die bestimmte Dateien nicht öffnen. Diese Dateien gehören zu bestimmten
Sicherheits-Tools.
• Der Virus benutzt mehrere Techniken um nicht erkannt zu werden:
- Er versteckt die Dateien und Ordner mit versteckten Eigenschaften
- Er versteckt die Endungen der Dateien
- Er versteckt die Dateien des Betriebssystems
Ansteckungstaktik:
ManClick.B erschafft folgende Dateien im Windowssystemverzeichnis, die Kopien
des Virus sind:
• AUTO.EXE, im Verzeichnis des C: Laufwerks
• SYSTEM.EXE, im Windowsverzeichnis
• EXPLORER.EXE, im Startup Verzeichnis. So wird sicher gestellt, dass
der Virus immer dann aktiviert wird, wenn Windows gestartet wird.
Außerdem erstellt der Virus die Datei AUTORUN.INF im Verzeichnis des C:
Laufwerk, so wird das Virus immer dann aktiviert, wenn das Laufwerk aktiviert
wird.
ManClick.B erstellt folgende Einträge in der Windows Datenbank:
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
System
DisableRegistryTools = 1
Damit wird der Windows Registry Editor abgebrochen.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
System
DisableTaskMgr = 1
Damit wird der Task Manager abgebrochen.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer
NoFind = 1
Damit wird die Option “Suche” des Start Menüs nicht angezeigt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer
NoRun = 1
Damit wird die Option “Run” des Start Menüs nicht angezeigt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\
Explorer
NoFolderOptions = 1
Damit wird die Option “Ordner Einstellungen”des Windows Explorer
nicht angezeigt.
• HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\
Control Panel
Homepage = 01, 00, 00, 00
Damit kann die Startseite des Internet Explorers nicht verändert werden.
ManClick.B erstellt oder verändert folgende Einträge, abhängig
von der Tatsache, ob der User den Yahoo Messenger installiert hat:
• HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_buzz
content url = %website established by the worm%
• HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_Launchcast
content url = %website established by the worm%
ManClick.B verändert die momentane Internetseite des Users, wenn der Yahoo
Messenger geöffnet wird.
Außerdem erstellt der Virus folgenden Pfad in der Windows Datenbank:
_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ Image File Execution
Options
So werden die folgenden Dateien, die zu Sedurity-Programmen gehören, nicht
ausgeführt:
bdagent.exe
bdss.exe
Bkav2006.exe
CCAPP.exe
CCenter.exe
cmd.exe
EGHOST.exe
far.exe
FireTray.exe
icesword.exe
IEProt.exe
Iparmor.exe
Kav.exe
kav32.exe
KavPFW.exe
KAVPLUS.exe
kavstart.exe
kavsvc.exe
KpopMon.exe
KRegEx.exe
KVCenter.kxp.exe
KVFW.exe
KVMonXP.exe
KVOL.exe
kvolself.exe
Kvsrvxp.exe
KVSrvXp_1.exe
kvwsc.exe
KWATCHUI.exe
livesrv.exe
MAILMON.exe
MCAGENT.exe
MCVSESCN.exe
MSKAGENT.exe
Nvsvc32.exe
PFW.exe
RAVMON.exe
RavMonD.exe
RavService.exe
RavTask.exe
RAVTIMER.exe
RfwMain.exe
RRfwMain.exe
Rtvscan.exe
SHSTAT.exe
TBMon.exe
TrojDie.kxp.exe
UpdaterUI.exe
VPTray.exe
vsserv.exe
worm2007.exe
xcommsvr.exe
ManClick.B verändert folgende Einträge in der Windows Datenbank:
•
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Shell = Explorer.exe
Wird zu:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Shell = Explorer.exe, System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\
Winlogon
Userinit = %sysdir%\userinit.exe,
Wobei %sysdir% das WIndowssystemverzeichnis ist
Wird zu:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = %sysdir%\userinit.exe, System
Bei der Änderung dieses Eintrages wird sicher gestellt, dass ManClick.B
immer dann aktiviert wird, wenn Windows gestartet wird.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = %start page established by the user%
Wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = http://mye<blocked>ddy.com
Damit wird die Startseite des Internet Explorers verändert.
Außerdem verändert der Virus folgende Einträge in der Windows
Datenbank um seine Entdeckung noch schwieriger zu gestalten:
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\
Advanced
Hidden = 01, 00, 00, 00
Wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 00, 00, 00, 00
Damit werden Dateien und Ordner mit verstecken Eigenschaften versteckt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\
Advanced
HideFileExt = 00, 00, 00, 00
Wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 01, 00, 00, 00
• HKEY_CURRENT_USER\ Software\ Microsoft\ Command Processor
EnableExtensions = 1
Wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Command Processor
EnableExtensions = 0
Damit werden die Endungen der Dateien versteckt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\
Advanced
ShowSuperHidden = 01, 00, 00, 00
Wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 00, 00, 00, 00
Damit werden die Dateien des Betriebssystems versteckt.
ManClick.B löscht folgende Einträge aus der Windows Datenbank um
zu verhindern, dass das System einen Sicherheitsmodus startet:
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
(Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
(Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
(Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
(Default) = DiskDrive
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
w32.ManClick.B Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
