| Bezeichnung |
Name |
Typ |
| Shoho.A |
Win32.Shoho.A@mm |
Ausführender Mass Mailer |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
27.12.2001 |
27.12.2001 |
| Größe |
Verbreitung |
Noch unterwegs |
| ~18 KBytes |
Gering |
Unbekannt |
| Andere Namen |
| W32.Shoho-A, W32.Shoho@mm, I-Worm.Welyah |
|
|
 |
Symptome :
|
- Datei winl0g0n.exe in Windows und Windows System Directory
- Die folgenden Keys im
Registry: "HKCUSoftwareMicrosoftWindowsCurrentVersionRunWinl0g0n.exe" mit Wert "%WINDIR%Winl0g0n.exe"
und "HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinl0g0n.exe" mit dem gleichen Wert.
|
Technische Beschreibung:
|
Der Wurm nutzt die Iframe Schwäche zur Verbreitung, wenn der User die Email Vorschau benutzt. Patch und Infos unter: http://www.microsoft.com/technet/security/bulletin/ms01-027.asp
Nach der Ausführung kopiert er sich als Winl0g0n.exe in Windows und Windows System Directory.
Danach durchsucht er die Festplatte nach Dateien mit den Endungen: Eml, wab, dbx, mbx, xls, xlt, mdb, .sys und sucht in diesen Dateien nach Email Adressen.
Zum Versenden den SMTP Server des Users. Findet er ihn nicht, benutzt er den Server, der in seinem Body codiert ist.
Nach dem Neustart versucht der Wurm Dateien von Windows und der Windows System Directory zu löschen.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Shoho.A@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
