| Bezeichnung |
Name |
Typ |
| Apbost |
Win32.Apbost.A@mm |
Ausführender Script Infektor Massen Mailer Wurm |
| Schaden |
Entdeckt |
Ermittelt |
| Hoch |
15.10.2002 |
15.10.2002 |
| Größe |
Verbreitung |
Noch unterwegs |
| 204800 bytes |
Hoch |
Unbekannt |
| Andere Namen |
| I-Worm.Xiv.a (KAV), WORM_BOOSTAP.A (Trend) |
|
|
 |
Symptome :
|
- Steckt in appboost.exe in %windir% Achtung! Diese Datei ist versteckt und gebraucht eventuell keine Default Settings im Explorer.
- Steckt in appbsvc.exe in %windir%
- Steckt im Registry Key
HKEY_CURRENT_USER\Software\Microsoft\Mails\%number% enthält eine binäre Sequenz.
- Infizierte ausführende Dateien tauschen ihr Icon aus mit.
|
Technische Beschreibung:
|
Der Virus verbreitet sich mit verschiedenen Methoden. Es kann als infizierter Emailanhang erscheinen, wobei er eine Internet Explorer Schwäche nutzt, die ihm erlaubt, die angehängten Dateien ohne Genehmigung auszuführen, so dass es schon reicht, die Email abzuschauen/voranzuzeigen, um infiziert zu werden. Sobald der Code einmal ausgeführt ist, kopiert sich der Virus selbst als %windir%\appboost.exe mit einem versteckten zusätzlichen Set und als %windir%\appbsvc.exe mit den üblichen Attributen. Danach registriert er sich als Systemprozeß mit appbsvc.exe – der nicht vernichtet werden kann , weil er den Task Manager unter WinNT/2k/Xp - und appboost.exe nutzt als Default Shell, die Kommandos öffnet für: BAT, .CMD, .COM, .EXE, .PIF and .SCR Dateien.
Ausführungen, die oben aufgeführt wurden, sind nur infiziert, wenn sie benutzt werden, um Shell Dateikommandos zu öffnen (z.B. Explorer).
Der Virus sucht auch nach Memory Prozeß Namen und wenn sie vordefinierte Antivirus/bevorzugte Strings enthalten, werden sie beendet.
Er infiziert php3 Dateien (.php, .php3 and .phtml), indem er einen php Code anhängt, der alle phps scannt und infiziert, die sich auf dem System finden, dann fügt er einen User an den Apache Server (wenn einer existiert) um Remote Attacken zu erlauben und einige mirc Scripts zu manipulieren.
File Shares für KaZaa werden geschaffen, die den Virus ausführen mit Namen, die zusammengesetzt sind aus Worten, die auf dem System des Opfers gefunden wurden und manche werden zu Worten zusammengesetzt ( z.B. "Crack", "Extra Pack - Key Gen", "Performance Fix", etc) mit verschieden ausführenden Erweiterungen (.bat, .cmd, .exe, .pif, etc).
Wegen der Infektionsmethode spezifisch für high-level language Viren und wegen des Vorhandenseins von einigen großen Bugs im Virus Code wird das infizierte System relativ schnell instabil und hat eine große Wahrscheinlichkeit, beim Booten des Systems zu scheitern.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Apbost.A@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
