w32.Perwall.A - Virensignatur

Symptome :

Perwall.A kopiert sich selbst oftmals in verschiedenen Verzeichnissen des betroffenen Computers und auch eine Datei namens AUTORUN.INF. So wird der Virus immer dann aktiviert, wenn auf ein Verzeichnis zugegriffen wird.

Außerdem wird er immer dann aktiviert, wenn eine Datei mit einer REG- (Windows Registry file) oder MSC-Endung (Microsoft Management Console file) geöffnet wird.
Der Virus wird verbreitet durch Laufwerke, die von mehreren Benutzern genutzt werden und austauschbar sind.

Technische Beschreibung:

Perwall.A ist einfach zu erkennen – Sobald er aktiviert wird, öffnet er den Ordner C:\windows\web\wallpaper, in welchem die Hintergrundbilder abgelegt sind.

Perwall.A führt folgende Aktionen durch:
• Sobald er aktiviert wird, öffnet er den Ordner C:\windows\web\wallpaper, in welchem die Hintergrundbilder abgelegt sind.
• Perwall.A kopiert sich selbst oftmals in verschiedenen Verzeichnissen des betroffenen Computers und auch eine Datei namens AUTORUN.INF. So wird der Virus immer dann aktiviert, wenn auf ein Verzeichnis zugegriffen wird.
• Außerdem wird er immer dann aktiviert, wenn eine Datei mit einer REG- (Windows Registry file) oder MSC-Endung (Microsoft Management Console file) geöffnet wird.
• Er versteckt die Dateien des Betriebssystems.

Ansteckungstaktik:
Perwall.A erstellt folgende Dateien, die Kopien des Virus sind:
• MS-DOS.COM, im Verzeichnis des C: Laufwerks
• GLOBAL.EXE, im Desktop im Unterordner „PCHEALTH“ des Windowsverzeichnis und im Unterordner „Dllcache“ des Windowssystemverzeichnisses
• FONTS.EXE und TSKMGR.EXE, im Unterordner „Fonts“ des Windowsverzeichnisses
• MICROSOFT.HLP, im Unterordner „Help“ des Windowsverzeichnisses
• RNDLL32.PIF, im Unterordner „Media“ des Windowsverzeichnisses
• HELPHOST.COM, im Unterordner „PCHEALTH\HELPCTR\binaries“ des Windowsverzeichnisses
• KEYBOARD.EXE, im Unterordner „System“ des Windowsverzeichnisses
• REGEDIT.EXE, im Windowsverzeichnis
• DEFAULT.EXE und DRIVERS.CAB.EXE, im Unterordner „Dllcache“ des Windowssystemverzeichnisses.

Außerdem erstellt der Virus eine Datei namens AUTORUN.INF im C: Laufwerk und einem anderen verfügbaren Laufwerk. So wird der Wurm immer dann aktiviert, wenn auf eines der Laufwerke zugegriffen wird.

Perwall.A erstellt folgende Einträge in der Windows Datenbank:
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
sys = %windir%\Fonts\fonts.exe
Wobei %windir% das Windowsverzeichnis ist.

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Default = %windir%\system\KEYBOARD.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run Once
Default = %sysdir%\dllcache\default.exe
Wobei %sysdir% das Windowssystemsverzeichnis ist.

Das Erstellen dieser Einträge garantiert, dass Perwall.A immer dann aktiviert wird, wenn Windows gestartet wird.

Perwall.A verändert folgende Einträge in der Windows Datenbank:
• HKEY_CLASSES_ROOT\ MSCFile\ Shell\ Open\ Command
(Default) = %SystemRoot%\system32\mmc.exe "%1" %*
Wird zu:
HKEY_CLASSES_ROOT\ MSCFile\ Shell\ Open\ Command
(Default) = %windir%\Fonts\Fonts.exe
So wird der Wurm immer dann aktiviert, wenn eine Datei mit einer MSC-Endung geöffnet wird.

• HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command
(Default) = regedit.exe "%1"
Wird zu:
HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command
(Default) = %windir%\pchealth\Global.exe
So wird der Wurm immer dann aktiviert, wenn eine Datei der Windows Datenbank geöffnet wird.

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 01, 00, 00, 00
Wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 00, 00, 00, 00
So werden die Dateien des Betriebssystems versteckt.

Entfernung:

[ Zurück zum Anfang ]