• der Registry Key:
[HKCR\Software\Microsoft\DataFactory]
• Dateien namens WIN‹NNNN›.pif im Windows System Ordner (‹NNNN› ist eine beliebige Nummer);
• Registry Entries namens ‹NNNN› unter den Registry Keys:
bei NT Versionen von Windows
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
bei allenVersionen von Windows
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Technische Beschreibung:
Diese Version von Win32.Bride.A@mm wurde in Visual C++ geschrieben. Der Wurm beinhaltet auch den Win32.FunLove.4070 Datei Infektor.
Er kommt als Emailanhang und nutzt die IFRAME Schwäche, um schon bei der Vorschau ausgeführt zu werden, und die Microsoft VM ActiveX Component Schwäche, damit die HTM Datei CEO an die ausführenden Dateiendungen fügen kann. Wenn der User die CEO Datei öffnet, wird der Wurm ausgeführt.
Der Wurm kopiert sich in den Windows System Ordner als WIN‹NNNN›.pif .
Der Wurm stoppt einige Antiviren Prozesse.
Eine Version von Win32.FunLove.4070 wird abgelegt in eine temporäre Datei im Windows System Ordner und ausgeführt und infiziert Dateien mit den endungen .exe, .scr und .ocx auf den lokalen Laufwerken und den Netzwerk Shares.
Eine Funktion des Wurmes scannt die Ordner auf den festen Laufwerken. Enthalten sie Dateien mit den Namen:
antivirus
cillin
nlab
vacc
werden sie beendet.
Emailadressen werden in .dbx and .htm Dateien gesucht;
Während seiner Ausführung versucht der Wurm Daten von http://www.symantec.com/ herunterzuladen, um zu sehen, ob die Verbindung besteht und den Server zu fluten.
An
dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung
an, wie z.B: Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC. Removal
Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der
Viren-Removaltools.
