• Eine falsche WinZip Dialog box mit der folgenden Nachricht:
bad CRC 23bb8dea (sollte sein 0be7841c).
• Plötzliches Abbrechen einiger Antiviren oder Shield Software Programme.
• Präsenz des Registry Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
mit einem zufälligen Wert, der eine Datei anzeigt im Windows Directory mit einem willkürlichen Namen.
Technische Beschreibung:
Schon vorher ermittelt als Win32.BugBear.Gen@mm, der Wurm verbreitet sich wie die vorherigen Varianten durch Mails.
Er kopiert sich selbst mit einem willkürlichen Namen: %random%.exe im Windows System Directory: %WINSYS%
Er führt die kopierte Datei aus.
Es zeigt eine falsche WinZip Message box an mit folgendem Text:
bad CRC 23bb8dea (should be 0be7841c).
Die %WINSYS% Kopie macht Folgendes:
Sie versucht sich selbst als Service anzumelden (unter Win9X Computern)
Sie schafft eine dat Datei, um eine Email Addresse zu lagern.
Sie legt eine Keylogger Komponente im %WinSYS% Ordner mit einem zufälligen Namen und .dll Endung an. Diese Komponente ist ermittelt als Trojan.KeyLogger.BugBear.B
Es schafft 2 Dateien mit dll Endung und zufälligem Namen. In diesen Dateien speichert der Wurm entschlüsselte Daten vom Computer.
Alle 20 Sekunden sucht er nach, und vernichtet einige Antiviren und Shield Prozesse.
Der Wurm Registriert die Aktionen des Users. Die Infos werden an eine Email Adresse gesendet.
Er sucht nach Email Adressen in allen Dateien mit folgenden Endungen
• sht
• txt
• asp
• htm
• ods
• inbox
• mmf
• nch
• mbx
• eml
• tbb
• dbx
Und er sendet sich an alle Emailadressen, die er vorgefunden hat.
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung
an, wie z.B: Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal
Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der
Viren-Removaltools.
AntiVirus News
Besuchen Sie auch den tagesaktuellen Antivirus News Bereich