Technische Beschreibung:

Schon vorher ermittelt als Win32.BugBear.Gen@mm, der Wurm verbreitet sich wie die vorherigen Varianten durch Mails.
Er kopiert sich selbst mit einem willkürlichen Namen: %random%.exe im Windows System Directory: %WINSYS% Er führt die kopierte Datei aus. Es zeigt eine falsche WinZip Message box an mit folgendem Text:
bad CRC 23bb8dea (should be 0be7841c).
Die %WINSYS% Kopie macht Folgendes:
Sie versucht sich selbst als Service anzumelden (unter Win9X Computern) Sie schafft eine dat Datei, um eine Email Addresse zu lagern. Sie legt eine Keylogger Komponente im %WinSYS% Ordner mit einem zufälligen Namen und .dll Endung an. Diese Komponente ist ermittelt als Trojan.KeyLogger.BugBear.B Es schafft 2 Dateien mit dll Endung und zufälligem Namen. In diesen Dateien speichert der Wurm entschlüsselte Daten vom Computer.
Alle 20 Sekunden sucht er nach, und vernichtet einige Antiviren und Shield Prozesse.
Der Wurm Registriert die Aktionen des Users. Die Infos werden an eine Email Adresse gesendet.
Er sucht nach Email Adressen in allen Dateien mit folgenden Endungen
• sht
• txt
• asp
• htm
• ods
• inbox
• mmf
• nch
• mbx
• eml
• tbb
• dbx
Und er sendet sich an alle Emailadressen, die er vorgefunden hat.

Entfernung:

[ Zurück zum Anfang ]