 |
 |
 |
| Virenbeschreibung |
|
Der Virus W32.Kriz
Der Virus W32.Kriz wird als .EXE-Datei versendet, verbreitet sich unter Windows 32-bit Systemen und infiziert .EXE-Dateien. Um als residenter Virus im Arbeitsspeicher verbleiben zu können, infiziert 'W32.Kriz' auch die KERNEL32.DLL.
Bei der Infektion einer .EXE-Datei erstellt der Virus einen neuen Abschnitt am Ende dieser Datei, in dem er seinen Code ablegt. Zum Auffinden solcher infizierter Dateien sucht man einfach nach dem String ‘666‘, welcher in die Kopfzeile des Codes geschrieben wird. Der Virus infiziert nicht alle .EXE-Dateien bzw. Programme. Folgende Dateien werden nicht verändert:
ALERTSVC.EXE, AVPM.EXE, AMON.EXE, AVP32.EXE, N32SCANW.EXE, NAVAPSVC.EXE, NOD32.EXE, NAVAPW32.EXE, NAVWNT.EXE, NAVLU32.EXE, NAVRUNR.EXE, NPSSVC.EXE, NSCHEDNT.EXE, SCAN.EXE, SMSS.EXE, _AVP32.EXE, _AVPM.EXE, NSPLUGIN.EXE,
Zum Infizieren der KERNEL32.DLL speichert der Virus diese Datei unter dem Namen KRIZED.TT6 ab und verändert diese anschließend. Beim nächsten Systemstart wird die KERNEL32.DLL mit Hilfe eines entsprechenden Eintrages in der WININIT.INI durch die Datei KRIZED.TT6 ersetzt. Der Virus verändert die Adressbereiche der externen Windows-Befehle, so dass diese in den Programmcode des Virus eingeschlossen werden. Der Virus ändert auf diese Weise sechzehn KERNEL32 Funktionen: Datei öffnen, kopieren, löschen, Ändern der Dateiattribute und viele mehr...
Der Virus hat zusätzlich noch eine gefährliche Schadensroutine in seinem Code: Am 25. Dezember zerstört der W32.Kriz den CMOS-Speicher, überschreibt alle Dateien auf allen vom BIOS verwalteten Festplatten und zerstört den Flash BIOS mit der selben Routine wie der CIH-Virus.
weitere Virenbeschreibungen