Symptome :

Spamta.QH birgt vielfältige Symptome.

Spamta.QH ist schwer zu entfernen. Es gibt keinerlei Nachricht oder Warnung, dass der Computer nun infiziert ist.

Technische Beschreibung:

eMailbetreff wäre einer der nun aufgelisteten:
Error
Good day
hello
Mail Delivery System
Mail server report.
Mail Transaction Failed
picture
Status
Test

Die eMailnachricht selbst kann leer sein oder auch einen der nun kommenden Einträge beinhalten:
Nachricht 1
Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

Nachricht 2
Mail transaction failed. Partial message is available.

Der Emailanhang kann einer der nun aufgelisteten sein:
BODY.ZIP
DOC.DAT.EXE
README.ZIP
TEST.ELM.EXE
UPDATE-KB***-X86.EXE - für "***" stehen variierende Nummern.
UPDATE-KB***-X86.ZIP
Diese Dateien gehören zum Trojaner SpamtaLoad.CO

Art der Infektion:

Spamta.QH generiert die folgenden Dateien:

WQPD32.EXE - befindlich im Windows-Ordner. Diese Datei, die dasselbe Icon hat, wie eine Textdatei, ist eine Kopie des Wurms.
WQPD32.DAT, WQPD32.C, WQPD32.WAX, WQPD32.Z und auch WQPD32.S - ebenfalls im Windows-Ordner.
DMSTPHOT.EXE - im Windows-System Ordner ist ebenfalls eine Kopie des Wurms.
E1.DLL, ACLEKERN.DLL, IPNARDCH.DLL und MSNEPNGF.EXE - im Windows-System Ordner befindlich.

Spamta.QH generiert die folgenden Einträge in der Windows Registry:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
dmstphot = Windows-System Ordner\dmstphot.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Run
wqpd32 = Windows-System Ordner\ wqpd32.exe

Bei diesem Eintrag versucht Spamta.QH sich selbst immer dann mit zu starten, alsbald auch Windows geladen wird:
Bei Windows 2003/XP/200/NT Betriebssystemen generiert er folgende Einträge:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows
AppInit_DLLs = e1.dll aclekern.dll
Bei diesem Eintrag versucht Spamta.QH die DLL-Dateien E1.DLL und ACLEKERN.DLL in jede laufende Windows Applikation hinein zu laden.

in Zusammenarbeit mit Panda-Software.de

[ Zurück zum Anfang ]