hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Betroffene Betriebssysteme | Windows |
|---|---|
| Schutz erhältlich seit | 06 Februar 2004 13:35:28 (GMT) |
| Letztes Update | 20 Mai 2010 13:51:58 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zur Desinfektion von PE-Dateien.
Bitte lesen Sie die Hinweise zum Entfernen von W32/Anig-A.
Weitere Informationen
W32/Anig-A ist ein Wurm, der sich verbreitet, indem er sich auf Netzwerkfreigaben kopiert. Mit W32/Anig-A können auch Kennwörter gestohlen werden.
W32/Anig-A kopiert sich mit seinem originalen Dateinamen nach <Windows>\System32 und erstellt den folgenden Registrierungseintrag, damit er beim Systemneustart aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Osa32
W32/Anig-A versucht sich zu verbreiten, indem er sich auf die ADMIN$-Freigabe auf remoten Computern kopiert.
W32/Anig-A kann eine DLL-Datei mit Funktionen zum Speichern von Tastenfolgen namens GinaDLL.DLL ablegen und Port 5190 öffnen, um Remote-Befehle zu erhalten.
W32/Anig-A registriert sich als Dienst namens Distributed File Controller, indem er folgende Registrierungseinträge erstellt:
HKLM\System\CurrentControlSet\Services\dfcsvc
DependOnGroup = ""
DependOnService = RpcSS
DisplayName = Distributed File Controller
Error Control = 0x0
ImagePath = <Dateiname> /dfcsvc
ObjectName = LocalSystem
Start = 0x2
Type = 0x110
W32/Anig-A kann auch folgende Registrierungseinträge erstellen:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
GinaDll = ntgina.dll
Ram32Data
Ram32ID
Ram32Group
|
