Bezeichnung |
Name |
Typ |
Blondy.A |
Win32.Blondy.A@mm |
Ausführender Mass Mailer Wurm |
Schaden |
Entdeckt |
Ermittelt |
Mittel |
06.11.2002 |
06.11.2002 |
Größe |
Verbreitung |
Noch unterwegs |
~128 KB (ungepackt) |
Mittel |
Ja |
Andere Namen |
|
|
|
Symptome :
|
- Die Registry Entry HKCR\exeDatei\shell\open\command mit einem anderen Wert als "%1" %*;
- Ein Unterordner "ProFiles" im Windows Ordner
|
Technische Beschreibung:
|
Dies ist ein Internet Wurm der sich per Email, Netzwerk Shares/Laufwerke, Kazaa Datei Sharing und IRC verbreitet; er arbeitet auch als IRC Backdoor Server.
Beim ersten Lauf zeigt er eine Fehlermeldung
Der Virus kopiert sich in den Windows Ordner, den Windows System Ordner und einen zufälligen Unterordner des Program Files Ordners; die Kopien haben einen willkürlichen Namen von existierenden Dateien (oder dem Program Folder Subfolder).
Der Virus verhindert die Ausführung von Programmen mit diesen Namen:
- panda
- avp
- kaspers
- f-prot
- f-secure
- antivir
- conseal
- worm + guard
- zone + labs
- mc + afee
- pc + cillin
- black + ice
- norton + virus
Der Virus sucht nach Fenstern und Prozessen die folgende Teile im Namen haben:
- black
- panda
- shield
- guard
- scan
- mcafee
- nai_vs_stat
- iomon
- navap
- avp
- alarm
- f-prot
- secure
- labs
- antivir
und versucht sie zu schließen;
Der Virus scannt alle festen und Netzwerkverbundenen Laufwerke und modifiziert die mIRC Script Dateien, collect email addresses (from wab Dateis), and attempt to delete vbs (Visual Basic script) Dateien in Windows und Windows System Ordnern. Er kopiert sich und schafft eine "autorun.inf" Datei auf verbundenen Laufwerken, um User zu infizieren, die Zugang zum Windows Explorer erlangen..
Der Wurm kopiert sich auf Netzwerk Share Ordner.
Emails werden an die Adressen aus den wab (Windows Address Book) Dateien und aus Adressen, die durch MAPI Funktionen erlangt wurden, geschickt. Der Virus scheint die berüchtigte IFRAME Schwachstelle zu nutzen
(siehe www.microsoft.com/technet security/bulletin/MS01-020
die den Anhang automatisch ausführt, wenn er in der Voranschau geöffnet wird ( bei Systemen die Outlook/Outlook Express und ungepatchte Versionen des Internet Explorer 5.xx benutzen).
Um sich im Kazaa Datei Sharing Netzwerk zu verbreiten, schafft der Wurm einen Unterordner "ProFiles" im Windows Ordner und kopiert sich dort mit verschiedenen Namen.
Wenn der Ordner mIRC lokalisiert, modifiziert er eine der Dateien:
- remotes.ini
- controls.ini
- versions.ini
- notes.ini
- url.ini
- version.ini
und fügt einen Satz zu in mirc.ini; das Script arbeitet als Backdoor Server.
Unter bestimmten Bedingnugen löscht der Wurm die User Dateien mit folgenden Endungen: swf, jpg, mp3, mpg, asf, mov, mpeg, avi, bmp, zip, html, htm, wav, ace, rar, doc, txt, pdf, dos, com, bat, sys, ini, dos.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Blondy.A@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
|
aktuelle Viren
Meldungen |
|
|
weitere Dienste |
|
|
|