Präsenz der nächsten Dateien im Windows Ordner (%WINDIR%, z.B. C:Windows):
netwatch.exe
eml.tmp
exe.tmp
zip.tmp
"Eml.tmp" ist eine lokale Datenbank für Mails, die vom Wurm im infizierten Computer gesammelt wurden.
"Exe.tmp" ist eine exakte Kopie von "netwatch.exe" und "zip.tmp" ist eine zip Datei, die "photos.jpg.exe" enthält, die in Wirklichkeit "netwatch.exe" ist.
Die aufgelisteten.tmp Dateien haben versteckte Dateiattribute, so dass sie im Windows Explorer nicht sichtbar sind.
Präsenz von "netwatch.exe" in der Prozessliste (sichtbar im Task Manager -> Processes under Win200/XP)
Präsenz des Registry Key:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunNetWatch32 set to %WINDIR%netwatch.exe
Technische Beschreibung:
Der Wurm verbreitet sich über Emails mit dem Anhang "photos.zip" und findet sich in Mails mit subject "Re[2]: our private photos".
Nachdem er sich kopiert hat in der %WINDIR% Directory sammelt er Emailadressen, um sich zu versenden.
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung
an, wie z.B: Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal
Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der
Viren-Removaltools.
AntiVirus News
Besuchen Sie auch den tagesaktuellen Antivirus News Bereich