Technische Beschreibung:

Dieser Virus ist ein Internet Wurm, der sich durch Emails verbreitet und unter der Windows Plattform verbreitet. Die infizierte Email hat folgendes Format:
Wenn der User den Anhang ausführt, installiert sich der Virus, indem er sich selbst in die Windows Directory kopiert unter einem willkürlichen Namen.
Einmal installiert, startet der Wurm seine Verbreitung. Der Virus schafft eine Liste von Emails aus dem Outlook Addressbuch und von allen Dateien auf der Festplatte C mit den Anhängen:
.php
.htm
.shtm
.cgi
.pl

dort schaut er nach dem String mailto:. Er liest auch den Internet Cache and History Ordner aus den Internet Explorer Settings und sucht nach Emails, die in den Ordnern aufbewahrt werden.
Der Virus hat eine Liste von SMTP (Simple Mail Transfer Protocol) Servern, wo er die SMTP Server des User's Internet Accounts zufügt (falls vorhanden). Die Liste enthält folgende SMTP Addresse:
200.52.69.2
200.52.69.9
193.92.94.226
12.34.208.35
195.229.189.2
toad.com
196.40.0.82
196.40.0.90
Um die Emails zu versenden, schafft er eine Kopie seiner Datei auf der Root der Festplatte C: mit dem Namen ants3set.exe, die an die Emails angehängt wird und die infizierten Emails direkt an SMTP Server (von seiner Liste) versendet. Diese Methode ist ziemlich unauffindbar vom User und funktioniert unabhängig von den Mail Settings des Users oder den Programmen.
Selbst wenn der User keinen Email Account hat, erlaubt eine simple Verbindung zum Internet dem Wurm, sich zu verbreiten.

[ Zurück zum Anfang ]