Wurm und Rootkit
Diese EXE-Datei ist nach Angaben von Trend Micro ein Wurm, der seinerseits ein Rootkit ablegt - wohl um sich zu tarnen. Dieses Rootkit steckt in der Datei bp.sys, die als Windows-Dienst registriert wird, um bei jedem Windows-Start automatisch geladen zu werden. Unter Windows 7 und Vista soll der Schädling laut Trend Micro nicht funktionieren.
Der Wurm verbreitet sich über Wechselmedien wie USB-Sticks, legt auf diesen eine Datei \autorun.inf an. Diese soll eine Kopie des Wurms starten, sobald das infizierte Medium angeschlossen und ins Dateisystem eingehängt wird. Der Wurm nimmt außerdem Kontakt zu einem Server im Internet auf, um weitere Malware herunter zu laden.
Die Erkennung der Malware durch Antivirusprogramme war anfanfs noch marginal, hat sich jedoch seitdem deutlich verbessert.
|
Antivirus |
Malware-Name (doc.pdf) |
Malware-Name (game.exe) |
|
AntiVir |
EXP/Pidief.blo |
TR/Spy.Bezopi.A |
|
Authentium |
PDF/Autorun.B!Camelot |
--- |
|
Avast |
PDF:Risk-A [Susp] |
Win32:Malware-gen |
|
AVG |
Generic2_c.AAYG (Trojan horse) |
SHeur3.TZR (Trojan horse) |
|
Bitdefender |
--- |
--- |
|
CA-AV |
PDF/Pidief.QL |
Win32/Emold.AH |
|
ClamAV |
PDF.Dropper-3 |
--- |
|
Dr.Web |
--- |
--- |
|
Eset Nod32 |
--- |
Win32/AutoRun.FakeAlert.DU worm |
|
Fortinet |
PDF/Pidief.BV!exploit |
W32/Agent.DJBN!tr |
|
F-Prot |
PDF/Pidief.BV |
--- |
|
F-Secure |
Exploit:W32/AdobeReader.WM |
Trojan-Downloader:W32/Agent.DJBN |
|
G Data |
PDF:Risk-A [Susp] |
Win32:Malware-gen |
|
Ikarus |
Exploit.JS.PDF |
Trojan.Win32.Agent |
|
K7 Computing |
--- |
--- |
|
Kaspersky |
Exploit.Win32.Pidief.dcd |
Worm.Win32.Bezopi.zl |
|
McAfee |
--- (Exploit-PDF.b)* |
--- (W32/Autorun.worm.bx)* |
|
McAfee Artemis |
--- |
--- |
|
McAfee GW Edition |
Exploit.Pidief.blo |
Trojan.Spy.Bezopi.A |
|
Microsoft |
TrojanDropper:Win32/Pidrop.A |
TrojanDropper:Win32/Emold.C |
|
Norman |
--- |
--- |
|
Panda |
--- |
--- |
|
Panda (Online) |
--- |
--- |
|
PC Tools |
--- |
--- |
|
QuickHeal |
--- |
--- |
|
Rising AV |
--- |
--- |
|
Sophos |
Troj/PDFEx-DF |
Troj/Agent-NCS |
|
Spybot S&D |
--- |
--- |
|
Sunbelt |
--- |
Trojan.Win32.Generic!BT |
|
Symantec |
Trojan.Pidief |
Packed.Cupx!gen5 |
|
Trend Micro |
TROJ_PIDIEF.ZAC |
WORM_EMOTI.A |
|
VBA32 |
--- |
--- |
|
VirusBuster |
--- |
--- |
|
Webroot |
Troj/PDFEx-DF |
Troj/Agent-NCS |
Quelle: AV-Test; Stand: 28.04.2010, 13:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten. (PC-Welt) (wl)