| Bezeichnung |
Name |
Typ |
| Cian |
VBS.Cian.C@mm |
Script Macro Wurm Mass Mailer Infektor |
| Schaden |
Entdeckt |
Ermittelt |
| Hoch |
12.02.2003 |
12.02.2003 |
| Größe |
Verbreitung |
Noch unterwegs |
| 16766 bytes |
Hoch |
Unbekannt |
| Andere Namen |
| VBS.Cian.C@mm (X97M), VBS.Cian.C@mm (W97M), I-Worm.Thery.b |
|
|
 |
Symptome :
|
-Die Dateien "Winstart.vbs", "Wininst32.vbs", "Winnt32.vbs" und "Winnet32.vbs" sind im System Ordner (C:\Windows\System or C:\Winnt\System32).
-Die Dateien "Netlnk32.vbs" und "Conversation.vbe" sind im Windows Ordner (C:\Windows oder C:\Winnt).
-Der Registry Key
"HKLM\Software\Microsoft\ Windows\CurrentVersion\Run\Winstart"
hat den Wert "Wscript.exe \Winstart.vbs %1", bei C:\Windows\System oder C:\Winnt\System32.
|
Technische Beschreibung:
|
Der Virus kopiert sich selbst im System Ordner (C:\Windows\System oder C:\Winnt\System32) als "Winstart.vbs", "Wininst32.vbs", "Winnt32.vbs" und "Winnet32.vbs" und im Windows Ordner (C:\Windows oder C:\Winnt) als "Netlnk32.vbs" und "Conversation.vbe".
Er schafft den Registry Key
"HKLM\Software\Microsoft\ Windows\CurrentVersion\Run\Winstart"
mit dem WErt "Wscript.exe \Winstart.vbs %1", bei C:\Windows\System oder C:\Winnt\System32, um die Kopie des Virus "Winstart.vbs" bei jedem Neustart des Systems zu laufen.
Es überschreibt die Datei "personal.xls" im Startup Ordner von Excel (der Pfad lautet z.B. :\Windows\Application Data\Microsoft\Excel\Startup"), um xls-Dateien zu infizieren, wenn sie geöffnet werden.
Er schafft eine temporäre Datei "Evade.gif" (kein richtiges Bild) im System Ordner (C:\Windows\System oder C:\Winnt\System32) mit einem bösartigen Code um xls-Dateien zu infizieren .
Er überschreibt die Datei "normal.dot" im Template Ordner von Word (der Pfad lautet z.B. "C:\Windows\Application Data\Microsoft\ Templates"), um Word Dokumente beim Öffnen zu infizieren.
Er schafft die temporäre Datei "Evade.jpg" (kein wirkliches Bild) im System Ordner (C:\Windows\System oder C:\Winnt\System32) mit einem bösartigen Code, um Dokumente zu infizieren.
Er kopiert sich selbst als "Passwords.vbs" in den Root jeder Festplatte auf dem System, außer "C:\".
Er fügt seinen Code an jede ".vbs" or ".vbe" Datei, in jedem Ordner auf jeder Festplatte.
Der Virus überschreibt als ".vbs" Datei alle ".mp3", ".mp2", ".avi", ".mpg", ".mpeg", ".mpe", ".mov", ".pdf", ".doc", ".xls", ".mdb", ".ppt" and ".pps" alle Dateien in folgenden Ordnern:
"C:\Kazaa\My Shared Folder"
"C:\My Downloads"
"\Kazaa\My Shared Folder"
"\KaZaA Lite\My Shared Folder"
"\Bearshare\Shared"
"\Edonkey2000"
"\Morpheus\My Shared Folder"
"\Grokster\My Grokster"
"\ICQ\Shared Files".
Die VBA-Form des Virus infiziert alle erreichbaren Word Dokumente und Excel Arbeitsbücher. Er modifiziert die Sicherheitsstufe für Word und Excel.
Infizierte Dokumente verbreiten sich selbst durch Email.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
VBS.Cian.C@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
