 |
Technische Beschreibung:
|
Dieser Virus kommt als Emailanhang. Wenn der User die Nachricht nur ansieht, wird der Virus ausgeführt, ermöglicht durch eine IFRAME Schwäche (wenn er Outlook oder Outlook Express ohne die letzten Service Packs oder Patches von Microsoft nutzt). Einmal installiert, kopiert er sich im System Directory als riched20.dll, modifiziert sich, um als DLL (Dinamically Link Library) geladen zu werden. Diese DLL wird von Applikationen genutzt, die mit Richedit Text Format wie Wordpad arbeiten.
Zur Verbreitung nutzt er MAPI (Mailing API) Funktionen, um die User Emails zu lesen, aus denen er SMTP (Simple Mail Transfer Protocol) Adressen und Email Adressen bekommt.
Eine andere Verbreitungsmethode ist die Nutzung der Unicode Web Traversal exploit Schwäche.
Dadurch erhält der Virus die Kontrolle über den ausführenden Flow auf dem Server, lädt sich unter dem Namen admin.dll runter, legt einen HTML Code auf die Webpage, die vom IIS Server gehosted wird, um den Virus runterzuladen.
Er versucht sich in Share Dateien und Ordner zu kopieren.
Der Virus aktiviert den User Guest ohne Passwort und fügt ihn zur Administrator Group dazu. Ebenso schafft er einen Share für jede Root Directory (von C bis Z) mit allen Zugangsrechten, und er macht die Proxy funktionsunfähig.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
 Win32.Nimda.A@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
