|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
Backdoor.Spybot.CQ
Alias: W32/Spybot-CQ, Backdoor.SdBot.gen, W32/Spybot.worm.gen.a virus, W32.Spybot.Worm,
WORM_SPYBOT.B
Backdoor.Spybot.CQ ist ein Wurm, der sich remote über IRC-Kanäle verbreitet.
Wenn das lokale Netzwerk nicht durch ausreichende Kennwörter geschützt ist, kopiert sich
Backdoor.Spybot.CQ als wupdadte.exe ins Windows-System.
Backdoor.Spybot.CQ erstellt folgende Registrier-Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Wupdate driver
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Wupdate driver
Backdoor.Spybot.CQ erstellt einen neuen Ordner namens \kazaabackupfiles und
kopiert sich unter folgenden File-Namen dort hinein:
zoneallarm_pro_crack.exe
AVP_Crack.exe
Porn.exe
Battlefield1942_bloodpatch.exe
Unreal2_bloodpatch.exe
UT2003_bloodpatch.exe
AquaNox2 Crack.exe
NBA2003_crack.exe
FIFA2003 crack.exe
C&C Generals_crack.exe
Backdoor.Spybot.CQ legt noch den Registrierungseintrag
HKCU\Software\Kazaa\LocalContent\Dir0
an, der auf diesen neuen Ordner verweist.
Backdoor.Spybot.CQ meldet sich an IRC-Servern an und wartet auf Backdoor-Befehle.
Backdoor.Spybot.CQ speichert Datentransfers und Tastenfolgen.
Entfernung:
Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Löschen Sie den Wert in der Registry.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und
drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Wupdate driver
Jeder User hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\.
Suchen Sie für jeden User den Eintrag:
HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\RunOnce\Wupdate driver
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
|
|
|
|
|
|
