Freitag, 14. Oktober 2005
PermaLink Entfernungs- Tool für den Virus/Wurm W32.Mytob 10/14/2005 06:07 PM

Da der gemeine Wurm W32/Mytob sich auch hierzulande schnell verbreitet und verhindert, dass Informationen und Desinfektionsprogramme von Antivirus-Seiten heruntergeladen werden können, hier das Entfernungsprogramm von Symantec für die Opfer: http://www.probox.at/FixMytob.exe .
Dieser Virus kommt per Email, mit frei erfundener Absenderadresse, und besitzt einen selbst ausführenden Anhang oder ein ZIP-File.

Mögliche Betreffzeilen:
# Your password has been updated
# Your password has been successfully updated
# You have successfully updated your password
# Your new account password is approved
# Your Account is Suspended
# *DETECTED* Online User Violation
# Your Account is Suspended For Security Reasons
# Warning Message: Your services near to be closed.
# Important Notification
# Members Support
# Security measures
# Email Account Suspension
# Notice of account limitation

Der Nachrichtentext enthält:
+++ Attachment: No Virus (Clean)
+++ [RANDOM NAME] Antivirus - www.[RANDOM NAME]

Einmal ausgeführt, macht der Wurm Folgendes:
  • Er schafft eine Mutex, damit nur eine Instanz von ihm in der Memory läuft
  • Er schaltet Antivirusprogramme aus
  • Er beendet etliche Windows-Prozesse, wie den TaskManager sofort
  • Er schafft/modifiziert die folgenden Registry Keys:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  • Er schaltet die Windows-Firewall über folgenden Registry-Key aus:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess  Start = "4" (Default ist 3)
  • Er ändert die hosts-Datei, damit über den Browser nicht mehr auf die Seiten von Antivirus- Anbietern zugegriffen werden kann
    Man kann diese Datei editieren, um dieser Änderungen rückgängig zu machen (\Windows\System32\Drivers\etc\hosts)
  • Er öffent eine Hintertür (back door) zur Domain rax.oucihax.info über den TCP Port 23523 und wartet auf Kommandos
  • Er beginnt Emailadressen zu sammeln und sucht im Ordner "Temporary Internet Files" in den aktuellen Outlook Email Accountdateien nach Files, danach versendet er sich mittles einer eigenen SMTP-Engine an die gefundenen Adressen
  • und noch viel mehr (siehe diese Symantec-Seite)

Kommentare :v

Keine Dokumente gefunden

Suche
Links
Blog-Startseite
Was ist ein Blog?
Zettl-Homepage
Zettl-Fotoalbum
Monatliches Archiv
2011
2011
2011
2011
2009
2008
Full Archive
Kontakt
email - Wolfgang Zettl
skypeme
Andere Blogs
Chris Brandlehner
Lotus Geek
Aktuelle Umfrage
RSS News Feed RSS Comments Feed Podcast Feed Geo URL RSS Validator Blog Admin Chris. A. Brandlehner
Zugriffszähler
Powered by
Blogsphere