|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Dumaru.A
I-Worm.Dumaru.A alias W32.Dumaru
I-Worm.Dumaru.A kommt als vermeintlicher Patch von Microsoft per eMail auf Ihren Rechner.
Er beinhaltet einen eigenen SMTP-Server womit er nicht auf den installieren Mailclienten für seine Verbreitung angewiesen ist.
Das eMail hat folgendes Aussehen:
From: "Microsoft" security@microsoft.com
Subject: Use this patch immediately !
Attachment: patch.exe
Dear friend , use this Internet Explorer patch now!There are dangerous virus in the Internet now!More than 500.000 already infected!
Die eMailadressen aucht der I-Worm.Dumaru.A aus Dateien mit der Endung:
.htm
.wab
.html
.dbx
.tbb
.abd
Die gefundenen eMailadressen werden in die Datei "winload.log" geschrieben.
Als Schadensfunktion beinhaltet der I-Worm.Dumaru.A eine Trojaner der Passwörter versendet.
Folgende Registry-Änderungen werden durchgeführt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "load32" = C:\%WINDIR%\load32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = explorer.exe C:\WINNT\System32\vxdmgr32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows "run" = C:\WINDOWS\dllreg.exe
Der Wurm kopiert sich selbst unter folgenden Namen in die Verzeichnisse:
c:\%WINDIR%\dllreg.exe
c:\%SYSDIR%\load32.exe
c:\%SYSDIR%\vxdmgr32.exe
Der Trojaner ist unter dem Namen "windrv.exe" im Windows-Verzeichnsi.
Für den neustart des Wurmes nach einem Rechner-Neustart sorgen die Einträge in der "win.ini":
c:\windows\system.ini, [boot] "shell" = explorer.exe C:\%SYSDIR%\vxdmgr32.exe
c:\windows\win.ini, [windows] "run"= C:\%WINDIR%\dllreg.exe
|
|
Linktipps: Stickerei
|
|
|
|
