|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Bobax.D
Alias: W32/Bobax-D, TrojanProxy.Win32.Bobax.d, W32/Bobax.worm.d, Win32/Bobax.B, W32.Bobax.C,
W32.Bobax.D
I-Worm.Bobax.D kopiert sich als %System%\.exe, wobei %System% die Umgebung
darstellt, also z.Beispiel C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).
I-Worm.Bobax.D fügt im Temp-Direktory ein .DLL File ein und bringt Explorer.EXE damit
zum Absturz.
Im Registrierungs-Eintrag wird unter
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
=
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
=
eingefügt.
I-Worm.Bobax.D generiert IP Addressen und stellt über TCP port 2000 - 62000,
eine Verbindung her (vermutlich zu http://www.dns4biz.de).
Von dort wird I-Worm.Bobax.D heruntergeladen und ausgeführt.
Manchmal führt dies zu einem Crash des LSASS-Prozesses (nur mehr Neustart möglich),
vergleichbar mit dem Effekt des I-Worm.Sasser.
Entfernung:
Es muß unbedingt vorher der Patch von Microsoft Security Bulletin MS04-011 heruntergeladen
werden, sonst infiziert man sich immer wieder !!
Bearbeiten der Registrierungseinträge:
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
=
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
=
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
|
|
Linktipps: Free SMS Liste · Professionelle Linux Netze · DSL Tarife
|
|
|
|
