 |
Technische Beschreibung:
|
Der Wurm kommt als Emailanhang.
Der Wurm sucht nach *.ht* Dateien (*.html, *.htm, *.htt, etc.) im aktuellen Directory, der Windows Directory und in den speziellen Directories: Desktop, Start Menu, My Documents, etc. und holt sich von dort Email Adressen, um sich zu versenden, indem er seine eigene Email Maschine benutzt.
Um bei jedem Neustart zu laufen, kopiert er sich im System Directory mit folgenden Namen:
• WINRPCSRV.EXE
• SYSHELP.EXE
• WINRPC.EXE
• WINGATE.EXE
• RPCSRV.EXE
Er zeigt Backdoor Verhalten, indem er auf den Ports 10168 und 20168 auf Befehle lauscht.
[ Zurück zum Anfang ]
|
