 |
Technische Beschreibung:
|
Er kommt als Emailanhang und benutzt eine Iframe Schwäche, so dass er auch bei Voransicht ausgeführt wird.
Er kopiert sich in C:Recycled (oder C:recycler) und fügt einen Key in der Registry hinzu, so dass er bei jedem Start einer exe Datei läuft:
HKEY_CLASSES_ROOTexeDateishellopencommand
Default
mit dem Wert C:Recycledxxxx.exe %1 %* (xxxx ist ein beliebiger Dateiname).
Dann versucht er folgende Sicherheitsprogramme arbeitsunfähig zu machen:
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
SAFEWEB
WEBSCANX
ANTIVIR
MCAFEE
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
Danach scannt er nach Email Adressenn in Outlook Express, MSN Messenger, Yahoo Messenger, ICQ Messenger's address books, und im Internet Cache Ordner und Internet History Ordner. Die gefundenen Adressen fügt er zur xxxxxxxx.dll Datei im Windows Directory. Zuletzt checkt der Wurm, ob der Host Computer mit dem Internet verbunden ist und versendet sich an die Adressen.
[ Zurück zum Anfang ]
|
