|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Bobax.A
Alias: W32/Bobax-A, Win32/Bobax.A.worm, TrojanProxy.Win32.Bobax.a
I-Worm.Bobax.A kopiert sich als %System%\.exe, wobei %System% die Umgebung
darstellt, also z.Beispiel C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).
I-Worm.Bobax.A fügt im Temp-Direktory ein .DLL File ein und bringt Explorer.EXE damit
zum Absturz.
Im Registrierungs-Eintrag wird unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"" = "%System%\.exe"
eingefügt.
I-Worm.Bobax.A generiert IP Addressen und stellt über TCP port 445 eine Verbindung her.
Von dort wird I-Worm.Bobax.A heruntergeladen und ausgeführt.
Manchmal führt dies zu einem Crash des LSASS-Prozesses (nur mehr Neustart möglich),
vergleichbar mit dem Effekt des I-Worm.Sasser.
Entfernung:
Es muß unbedingt vorher der Patch von Microsoft Security Bulletin MS04-011 heruntergeladen
werden, sonst infiziert man sich immer wieder !!
Bearbeiten der Registrierungseinträge:
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"" = "%System%\.exe"
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
|
|
Linktipps: MTB Shop
|
|
|
|
