Name
des Virus |
WinNT.Infis |
Typ |
Sonstige |
befallene Betriebssysteme |
Windows NT 4.0 ab Service Pack 2 |
Infizierung:
Beim Start eines mit dem Infis-Virus befallenen Programms, kopiert sich
der Virus zuerst als getarnter Treiber nach \WinNT\System32\Drivers unter
dem Namen INF.SYS. Danach manipuliert der Virus die Registrierungs-Tabelle
des Betriebssystems und erzeugt einen Neu-Eintrag:
- \Registry\Machine\System\CurrentControlSet\Services\inf
- Type = 1 Standard Windows Nt driver
- Start = 2 -Driver start mode
- ErrorControl = 1 -continue system loading on error in
driver
Dadurch wird bei jedem Hochfahren des
System der Virus in INF.SYS aktiviert und in den RAM-Speicher geschrieben.
Er übernimmt dann mittels undokumentierter Betriebssystemfunktionen die
Kontrolle über ihr System und kann Dateien manipulieren. Dabei befällt er
nur PE (Portable Executable) EXE-Dateien, allerdings nicht das Windows NT
Core-Modul CMD.EXE. Diese EXE-Dateien verlängern sich dadurch um 4608
Bytes.
Schadensroutine:
Der WinNT.Infis-Virus besitzt keine besondere Schadensfunktion. Infizierte Programme können zerstört und von daher nicht mehr gestartet werden. Es wird ein Anwendungsfehler angezeigt.
Bemerkungen:
Ein Kennzeichen eines aktiven WinNt.Infis ist, daß bestimmte Programme nicht mehr gestartet werden. Dies sind beispielsweise MSPAINT.EXE, CALC.EXE, CDPLAYER.EXE. Diese Programme werden durch den Viruscode zerstört. Ein weiteres Kennzeichen ist, daß die Datei INF.SYS im Verzeichnis \WinNT\System32\Drivers vorhanden ist.
Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt.
Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind
verboten.
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch
Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus
etwaig entstehenden Schaden keine Verantwortung übernommen werden. |
|
