 |
Technische Beschreibung:
|
Der Wurm kommt per email mit folgenden Merkmalen:
Das Subjekt ist eines der folgenden:
Sex
I'm in love
Important
Hello
Wet girls
I'm nude
Fetishes
Der Absender ist vorgetäuscht.
Die Nachricht hat einen Anhang namens:
message
document
details
creme_de_gruyere
gutted
photo
jennifer
britney
mit der Endung SCR oder ZIP ( im Fall einer archivierten Kopie).
Er kann auch eine doppelte Endung haben, .jpg oder .txt
gefolgt von einer langen Sequenz von freiem Platz, und dann .scr. ( dieses
Verhalten tritt auf, wenn die Mail in einem Archiv versendet wird).
Einmal ausgeführt, kopiert sich der Wurm selbst ins
%WinDir% Directory mit einem zufälligen Namen, zusammengesetzt aus
zufälligen Buchstaben, gefolgt von "TWAIN.EXE" ( z.B. ATWAIN.EXE,
QWETWAIN.EXE etc. ). Er legt auch die Wurm Hauptdatei ab, eine dll mit
dem Namen, der auf dieselbe Art zusammengesetzt ist, (z.B. UTWAIN.DLL
), und wenn er startet, benutzt er rundll.exe .
Er sucht im Memory nach der Präsenz mittels der Mutex.
Er sammelt Email Adressen auf dem infizierten Computer, schaut in die
WAB, TXT, HTML und HTM Dateien.
Der Wurm schafft den folgenden Registry Key, so dass er bei jedem Neustart
läuft: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\winupd = Rundll32.exe %WinDir%\*twain.dll, _mainRD.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
 Win32.Mabutu.A@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
