Technische Beschreibung:

Dateien vor dem 7.Januar 2004 wurden ermittelt als: Win32.Mimail.Gen@mm
Wenn der Virus läuft, passiert Folgendes:
1. Er zeigt falsche PayPal Screens an
2. Er verseckt seine Präsenz in Win9x Systems durch den RegisterServiceProcess
3. Er kopiert sich als %WINDOWS%winmgr32.exe
4. Er schafft die Registry Entry
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "WinMgr32"="C:\WINDOWS\winmgr32.exe"
5. Er versucht die Startseite von Internet Explorer zu ändern in http://www.anvari.org/db/fun/World_Trade_Center/Bush_MonKey.jpg
6. Schafft die Dateien c:index.hta und c:index2.hta und führt c:index.hta aus, die die .og. falsche Paypal Nachricht anzeigft, persönliche Infos und Kreditkarteninfos werden gesammelt in c:tmpny3.txt
7. Er versucht den Inhalt von tmpny3.txt an eine Remote Server zu schicken.
8. Vernichtet und schafft die Dateien neu:
%WINDOWS%zipzip.tmp (gezippte Kopie des Virus) %WINDOWS%ee98af.tmp (Kopie des Virus)
9. Versucht sich mit www.google.com zu verbinden, wenn der User im Internet ist.
10. Sucht nach Emailadressen in Dateien in SoftwareMicrosoftWindowsCurrentVersionExplorerShell Ordnern und Cookies, C: und C:Program Files
11. Versucht Dialup und lokale Passwörter an einige Emailadressen zu versenden.
12. Gebraucht seinen eigenen SMTP Server.
Der Virus kann eventuell versuchen, sich upzudaten, indem er eine Datei c:mm.exe runterlädt und ausführt

Entfernung:

[ Zurück zum Anfang ]