Freitag, 21. April 2006
PermaLink Win32.Polipos oder Polip.A: neuer polymorpher Virus, der sich vor den meisten Suchprogrammen erfolgreich verstecken kann!04/21/2006 08:49 AM
Dieser Virus verbreitet sich hauptsächlich über P2P- Netzwerke und wird - zumindest derzeit - von sämtlichen gängigen Schutzprogrammen nicht erkannt! Nur der Exote Dr. Web Anti-Virus kann diesen Schädling diagnostizieren und auch entfernen.
Link zu Dr. Web CureIt

Nachtrag: mittlerweile werden auch die Erkennungsraten anderer Antivirenprogramme langsam besser, hier eine Vireninfo von Trend Micro
. .
Detaillierte Infos über diesen Schädling aus dem Dr. Web-Newsfeed vom 19.4.2006:

Der Virus-Erkennungsdienst der Doctor Web, Ltd warnt Benutzer von Peer-to-Peer Netzwerken vor dem gefährlichen polymorphen Virus Win32. Polipos der vor ca. einem Monat erschienen ist und sich aktiv in unterschiedlichen Netzwerken verbreitet.

Die Verbreitung von WIN 32. Polipos begann im März 2006, der Virus wurde umgehend der Virendatenbanken von Dr.Web Anti-Virus hinzugefügt.

Abgesehen von der komplizierten Technik, die der Schreiber für den Aufbau des Virus gewählt hat, verfügt das Virus über weitere sehr gefährliche Eigenschaften. Diese ermöglicht es, verschiedene Virenerkennungs- und Sicherheits- Programme zu neutralisieren, dadurch an das Netz angeschlossene Computer zu infizieren, diese dann das gesamte Netz zu infizieren, und deren Inhalte der Öffentlichkeit zugänglich zu machen. Das Virus infiziert ausführbare Windows-Dateien, indem es den Code des Polymorphen Decoders in unbenutzte Code-Sektoren schreibt. Das Virus erstellt neue Sektionen, in die es seinen eigenen Code schreibt, indem es die möglicherweise existierenden Wiederherstellungsdateien nach hinten verschiebt.

Die infizierte Datei nicht modifiziert oder deren originale Startsequenz geändert. Vielmehr wird die Adresse für API Anfragen mit der Startadresse des Virus vertauscht. Wird das Virus gestartet werden alle aktiven Prozesse infiziert. Ausnahmen bilden:

savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll smss, csrss, spoolsv, ctfmon und temp.

So verbleiben also mehrere Original Kopien des Virus im Computerspeicher, von denen jeder eine fest zugewiesene Funktion ausführen wird. Zum Beispiel infizierbare Dateien zu suchen, Dateien zu infizieren, Wechselwirkungen mit auf Gnutella basierenden Peer-to-Peer Netzwerken zu erzeugen usw. Infizierte Dateien der am Netzwerk angemeldeten Computer werden sofort freigegeben.

Integrierte Kopien von Win32. Polipos fangen die folgenden API-Anfragen ab: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. Werden diese Funktionen aufgerufen, werden automatisch weitere Dateien infiziert.

Wenn eine geschützte Datei wie (Sfx-Archive, Installierung Dateien, usw.) angesprochen wird, versucht das Virus eine original Kopie der Datei im einem temporären Verzeichnis, mit dem Namen pdf* oder .tmp anzulegen und diese zu starten. Diese ermöglicht es dem Virus den Integrationstest verschiedener Installer zu umgehen.

Die Ausbreitung von WIN.32 Polipos und seiner Möglichkeiten ist unzweifelhaft sehr erschreckend und gefährlich für Benutzer von Peer-to-Peer Netzwerken, um so sonderbarer ist es das es dazu kam. Gleichzeitig war Dr.Web Anti-Virus für lange Zeit das einzige Programm, das in der Lage war es zu erkennen und zu bekämpfen.
Kommentare :v

1. TheMansion20.06.2009 07:49:23


Ist zwar lange her..
Aber ich hab so ein ähnlichen Virus.
Er nennt sich Type.Win32 Virus.
Er hat die ähnlichen Aktivitäten wie diesen Polipos Virus..
Meine ganzen *.exe dateien im System32 Ordner wurden mit dem Virus infiziert..
Habe Windows neu installier -> kein Erfolg.
Sobald ich einen Antivirus oder sonstwas installiere taucht dieser virus wieder auf...
Avira Antivir wurde auch infiziert..
konnte es nicht mehr starten..
Ich werde Windows wieder neu aufspielen...
Mal sehen was passiert...
Wenn ihr irgendwelche Lösungen habt, gebt mir bitte ein paar Tipps..

Mein System :
Windows XP Proffesional SP2
Intel Pentium Dual Core 2x 2.0 GHz
2 GB Ram
Gainward Nvidia GeForce 8400 GS
Western Digital 160 GB

würde mich echt über eine Antwort freuen...



Suche
Links
Blog-Startseite
Was ist ein Blog?
Zettl-Homepage
Zettl-Fotoalbum
Monatliches Archiv
2011
2011
2011
2011
2009
2008
Full Archive
Kontakt
email - Wolfgang Zettl
skypeme
Andere Blogs
Chris Brandlehner
Lotus Geek
Aktuelle Umfrage
RSS News Feed RSS Comments Feed Podcast Feed Geo URL RSS Validator Blog Admin Chris. A. Brandlehner
Zugriffszähler
Powered by
Blogsphere