• Datei regedit.exe im Windows System Ordner (nicht im Windows Ordner !);
• Datei Explorer.exe auf dem Desktop (mit einem Icon von Internet Explorer, nicht von Windows Explorer !);
• Email Message Datei Help.eml auf dem Desktop;
• Datei bride.exe im Windows System Ordner;
• die Registry Entry [HKCU\Software\Microsoft\Windows\CurrentVersion\Run\regedit].
Technische Beschreibung:
Dies ist ein Mass-mailing Wurm der in sich den Datei Infektor Win32.FunLove.4070 trägt.
Der Wurm kommt als Email und nutzt die IFRAME Schwäche im Internet Explorer 5.xx aus; mehr Informationen und das Patch unter Microsoft Security Bulletin (MS01-020).
Der Virus kopiert sich als regedit.exe im Windows System Ordner, um bei jedem Naustart von Windows zu laufen.
Der Wurm kopiert sich auch auf den Desktop als Explorer.exe(mit dem Internet Explorer Icon). Eine Email Datei (Help.eml) mit dem Virus wird geschaffen (auch auf dem Desktop); wenn der User sie öffnet, wird der Virus ausgeführt.
Er beendet Prozesse mit diesen Namensteilen:
dbg
mon
vir
iom
anti
fire
prot
secu
view
debug
Die Nachricht enthält auch Infos über die Windows Version, ID und Key aus den Registry Entries:
ProductName
ProductId
ProductKey
Emails mit dem Wurm werden an alle Adressen versandt, die .htm und .dbx Dateien stecken und auch an anonyme User im Domain Server.
Der Wurm legt eine Version von Win32.FunLove.4070 in bride.exe ab; dieser gefährliche Virus infiziert Exe Dateien auf dem lokalen System und den Netzwerk Share Ordnern.
Unter bestimmten Bedingungen versucht sich der Wurm mit folgenden Webseiten zu verbinden:
HttP://Www.hOtmAIl.coM/
hTtP://wWw.sEX.cOm/
An
dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung
an, wie z.B: Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC. Removal
Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der
Viren-Removaltools.
