Präsenz von "winpsd.exe" im
%system% (e.g. C:\Windows\System32) Ordner, in der Prozeßliste und
Präsenz im Start-up Registry Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
mit dem String "winpsd".
Präsenz von "rasor38a.dll"
im %windir% (e.g. C:\Windows) Ordner, einer Kopie des Wurms.
Technische Beschreibung:
• verbreitet sich per Email, angehängt als "photos_arc.exe";
das Subjekt der Email ist "Photos"; der Body ist "LOL!;))))",
wobei der Absender gefälscht ist.
• er vermeidet es, sich an bestimmte Emailadressen mit verschiedenen
Unterstrings zu versenden
• downloadet sich als "winvpn32.exe" und führt sich
von den folgenden Webseiten aus:
http://www.xxxxxxxxxx.com/ispy.1.jpg
http://www.xxxxxxxxxx.com/coco3.jpg
http://www.xxxxxxxxxx.com/guestbook/temp/temp587.gif
http://xxxxxxxxxxx.com/guestbook/temp/temp728.gif
• die Download Datei ist Backdoor.Surila, eine Komponente mit Tarnfähigkeiten,
die ihn in der Prozeßliste und auf der Festplatte unsichtbar machen.
• wenn der Download der Backdoor Komponente erfolgreich war, wird
der folgende Registry Key als Marker hinzugefügt "HKCU\SOFTWARE\Microsoft\Internet
Explorer\InstaledFlashhMX" gesetzt als "1"
• er prüft den Mutex "43jfds93872", um eine erneute
Infizierung zu verhindern
• er kopiert sich selbst in "%system%\winpsd.exe" und "%windows%\rasor38a.dll"
• er fügt dem Start up Registry Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
den String "winpsd" zu, der auf "%system%\winpsd.exe"
weist.
An
dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung
an, wie z.B: Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC. Removal
Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der
Viren-Removaltools.
