Präsenz der FirewallSvr.exe im %windir% (e.g. C:Windows) Ordner und in der Prozessliste.
Präsenz von f**k_you_bagle.txt im %windir% (e.g. C:Windows) Ordner, der einen Stapel von ascii Ziffern enthält.
Präsenz im Start-up Registry Key
"HKLMSoftwareMicrosoftWindowsCurrentVersionRun" im string "FirewallSvr" weist auf "%windir%FirewallSvr.exe".
Technische Beschreibung:
Der Wurm verbreitet sich via Emailanhang.
Beim ersten Lauf kopiert der Virus sich in %windir%FirewallSvr.exe und schafft einen Link in der Registry, so dass er bei Jedem Start neu aktiviert wird.
Er sucht nach Dateien mit den Endungen:
.eml
.txt
.php
.cfg
.mbx
.mdx
.asp
.wab
.doc
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.adb
.tbb
.dbx
.pl
.htm
.html
.sht
.oft
.msg
.ods
.stm
.xls
.jsp
.wsh
.xml
.mht
.mmf
.nch
.ppt
Der Wurm schafft einen Thread, der als Backdoor fungiert, indem er auf Port 82 lauscht. Wenn ein Angreifer eine Datei an diesen Port schickt, verwahrt der Wurm ihn als Rand.exe und führt sie aus.
Er verschickt sich an die gesammelten Adressen als Email.
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung
an, wie z.B: Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal
Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der
Viren-Removaltools.
AntiVirus News
Besuchen Sie auch den tagesaktuellen Antivirus News Bereich