w32.Radulambu.C - Virensignatur

Symptome :

Radulambu.C erreicht den Computer indem er sich als Bild ausgibt. Wird dieses geöffnet, öffnet sich der Windows Image Viewer. So bekommt der User nicht mit, dass die Datei tückisch ist.

Außerdem verändert der Virus Einträge in der Windows Datenbank, welche folgende Aktionen unmöglich machen:
• Schnelles und gezieltes Suchen, da die Option ‚Suche’ des Start Menüs ausgeschaltet wurde
• Eine Wiederherstellung des Systems, welche dafür zuständig ist, Veränderung im System rückgängig zu machen
Radulambu.C erreicht den Computer indem er sich als Bild ausgibt.
Der Virus wird verbreitet durch Laufwerke, die von mehreren Benutzern genutzt werden und austauschbar sind.

Technische Beschreibung:

Radulambu.C ist nicht einfach zu erkennen, da weder Nachrichten oder Warnungen anzeigt werden, die darauf hinweisen, dass der Virus den Computer erreicht hat.

Allerdings kann der Virus schnell entdeckt werden, sobald der User im Internet surft, da der Titel des Internet Explorer Fensters wie folgt abgeändert wird:
++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++

Wirkungen:
Radulambu.C führt folgende Aktionen durch:
• Der Virus erreicht den Computer indem er sich als Bild ausgibt. Wird dieses geöffnet, öffnet sich der Windows Image Viewer. So bekommt der User nicht mit, dass die Datei tückisch ist.
• Der Titel des Internet Explorer Fensters wird wie folgt abgeändert:
++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++
• Folgende Objekte werden abgebrochen:
- Windows Registry Editor
- Eine Wiederherstellung des Systems, welche dafür zuständig ist, Veränderung im System rückgängig zu machen
- Die Option „Suche“ des Start Menüs, welche schnelles und gezieltes Suchen ermöglicht

• Der Virus benutzt verschiedene Techniken um seine Entdeckung noch schwieriger zu gestalten:
- Er versteckt die Endungen der Dateien
- Er versteckt die Dateien des Betriebssystems

Ansteckungstaktik:
Radulambu.C erstellt viele Kopien von sich selbst in verschiedenen Verzeichnissen des betroffenen Computers. Einige der von ihm erstellten Dateien sind folgende:
• CSRSS.EXE, LSASS.EXE, PARAYSUTKI_VM_COMMUNITY, SERVICES.EXE, SMSS.EXE und WINLOGON.EXE, in dem Unterordner „~A~m~B~u~R~a~D~u~L~“ des Windowssystemverzeichnisses.
• FOTOKU %infection date%.EXE, FRIENDSTER COMMUNITY.EXE, J3MBATAN K4HAYAN.EXE und MYIMAGES.EXE, im Verzeichnis des C: Laufwerks
• KE.. TAUAN N90C0K.EXE und MA5TURBAS1 XL1M4XS.EXE, im Unterordner „Images“ im Verzeichnis des C: Laufwerks.
Außerdem erstellt der Virus eine Datei namens AUTORUN.INF im C: Laufwerk und einem anderen verfügbaren Laufwerk. So wird der Virus immer dann aktiviert, wenn auf eines der Laufwerke zugegriffen wird.

Radulambu.C erstellt folgende Einträge in der Windows Datenbank:
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
AVManager = %sysdir%\~A~m~B~u~R~a~D~u~L~\csrss.exe
Wobei %sysdir% das Windowssystemverzeichnis ist.
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ConfigVir = %sysdir%\~A~m~B~u~R~a~D~u~L~\services.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
NarmonVirusAnti = %sysdir%\~A~m~B~u~R~a~D~u~L~\smss.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
NviDiaGT = %sysdir%\~A~m~B~u~R~a~D~u~L~\lsass.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
PaRaY_VM = %sysdir%\~A~m~B~u~R~a~D~u~L~\winlogon.exe
Mit diesem Eintrag wird sicher gestellt, dass Radulambu.C immer dann aktiviert wird, wenn Windows gestartet wird.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Damit wird der Windows Registry Editor abgebrochen.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
So wird die Option “Suche” nicht im Start Menü angezeigt.
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\ Installer
DisableMSI = 01, 00, 00, 00
So wird der Windows Installer abgebrochen.
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\ Installer
LimitSystemRestoreCheckpointing = 01, 00, 00, 00
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
DisableConfig = 01, 00, 00, 00
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
DisableSR = 01, 00, 00, 00
So wird die Wiederherstellung des Systems abgebrochen.

Radulambu.C verändert diese Einträge der Windows Datenbank um seine Entdeckung noch schwieriger zu machen:
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 00, 00, 00, 00
Wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 01, 00, 00, 00
So werden die Endungen der Dateien versteckt.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 01, 00, 00, 00
Wird zu:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 00, 00, 00, 00
So werden die Dateien des Betriebssystems versteckt.
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
SuperHidden = 01, 00, 00, 00
Wird zu:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
SuperHidden = 00, 00, 00, 00

Entfernung:

[ Zurück zum Anfang ]