W32.Spamta.PV - Virensignatur

Symptome :

Spamta.PV verbreitet sich über eMail mit variierenden Eigenschaften.

Technische Beschreibung:

zur Infektionsart:
Spamta.PV generiert die folgenden Dateien:

MSPRADME.EXE - direkt im Windows System Ordner. Dieses ist eine Kopie von Spamta.PV selbst.
AIS32.EXE, BRWMGR32.DLL, BRWCONF.EXE, BRWPERF.EXE, BRWPRF32.DLL, BRWSTAT.DLL, CONFBRW.DLL, E1.DLL, MCD3MSCM.DLL, RDPWMSJT.EXE, SLBIPSCH.DLL, SLBIPSCH.EXE, VB5DMSPO.DLL und WNET.32 ebenfalls im Windows System Ordner.

Spamta.PV generiert die folgenden Einträge in der Windows Registry:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
mspradme = \Windows System Ordner\mspradme.exe

Bei diesem Eintrag versucht Spamta.PV sich selbst immer dann mit zu starten, alsbald auch Windows geladen wird:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows
AppInit_DLLs = vb5dmspo.dll e1.dll
Bei diesem Eintrag versucht Spamta.PV die DLL-Dateien VB5DMSPO.DLL und E1.DLL in jede laufende Windows Applikation hinein zu laden.

Spamta.PV verbreitet sich mittels des eMail-Mediums.

Dieser Wurm erreicht den Computer in einer Mailnachricht mit variierenden Erkennungsmerkmalen.
Alsbald der Wurm aktiv ist versucht er sich mit folgender Webseite zu verbinden um von dort aus den schädlichen Code nachzuladen:
http:**s1.esunhuitsadwa.com

Mailanhang:
Im Mailanhang befindet sich eine Bilddatei (gif), in der sich wiederum eine Kopie des Wurms befindet und sobald dieser Anhang geöffnet wird, wird auch das Computersystem kompromittiert.
Desweiteren downloadet Spamta.PV eine Liste mit eMailadressen von dieser Webseite um dann vom infizierten System aus die Emailinhaber anzuschreiben. Auch in diesen Nachrichten befindet sich jeweile eine Kopie des Wurms:
http:**asdasdcd.org:8081/cgi-bin/

in Zusammenarbeit mit Panda-Software.de

Entfernung:

[ Zurück zum Anfang ]