FORUM 8 |
Fremder (unbekannt) |
|
msbb.exe 30.06.2003 (20:35 Uhr) Hackermacker | ||
W32/Redist-C 30.06.2003 (20:45 Uhr) Cräckmaschäck | ||
W32/Redist-C ist ein Internet-Wurm, der sich per E-Mail und über Peer-to-Peer-Netzwerke verbreitet. W32/Redist-C sendet sich mittels Outlook an Einträge in Ihrem Adressbuch. Die von dem Wurm versendeten E-Mails haben folgende Merkmale: Betreffzeile: Some card games Text: Hello, Try these card games (in the attachments). Enjoy! Attachment: Card_install.pif Betreffzeile: MP3 downloader Text: Hello, Do you like MP3's? Check out this cool MP3 downloader! It works well on my computer :) Cya! Attachment: MP3Connect.pif Betreffzeile: Modem booster Text: I had a fairly slow modem until I installed the file in the attachments! This program is a "Modem booster", it can make your internet connection go at most 2x faster :) Enjoy! Attachment: ModemBooster.exe Betreffzeile: Fire ScreenSaver Text: Check out this ScreenSaver of fire! I think that it's one of the best ScreenSavers that I have ever seen! Cya! Attachment: FireScreen.pif Betreffzeile: Program Text: Here is that program that you asked for yesterday. Attachment: Winprg32.pif Betreffzeile: Password list Text: Hello, Here is that password list that you asked for about days ago. It is in the attachments as "PswdLst.pif". It also includes my computer login password, so please dont show anyone else this file. Thanks. Attachment: PswdLst.pif W32/Redist-C stellt sich in Peer-to-Peer-Netzwerken bereit, indem er sich in folgende Ordner kopiert: KMD Kazaa Kazaa Lite LimeWire\Shared Gnucleus\Downloads Gnucleus\Downloads\Incoming Shareaza\Downloads BearShare\Shared Edonkey2000\Incoming Edonkey Incoming Morpheus Grokster\My Grokster WinMX ICQ\Shared Files My Music My Documents\My Music My Downloads W32/Redist-C erstellt zwei Kopien von sich in Ihrem Windows-Ordner, wobei er folgende Namen verwendet: Mslg32.exe Winprg32.pif Der Wurm kopiert sich in Ihren Systemordner mit dem Namen: Winlg32.pif (Dateien, die mit W32/Redist-C infiziert sind, haben normalerweise eine Größe von 19456 Bytes.) W32/Redist-C fügt folgenden Registrierungseintrag zu Ihrer Registrierung hinzu: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecureLogin Dieser Wert wird so gesetzt, dass die Datei Mslg32.exe aufgerufen wird, sobald Sie sich an Ihrem Computer anmelden. W32/Redist-C fügt außerdem folgenden Registrierungseintrag hinzu: HKCU\Software\Zed\Outsider\Outsider3 = "W32/Outsider.C by Zed" W32/Redist-C versucht Dateien zu überschreiben, deren Erweiterung mit "MP" und "WM" beginnt (dabei handelt sich meistens um Musikdateien). An den Dateinamen wird die zusätzliche Endung ".pif" angefügt. Obwohl der Dateiname genauso aussieht wie zuvor, starten Sie den Virus, wenn Sie in Zukunft auf eine dieser Dateien doppelklicken. Beachten Sie, dass die originalen Musikdateien zerstört werden. Diese können nicht einfach wiederhergestellt werden, es sei denn, Sie haben ein aktuelles Backup erstellt. W32/Redist-C protokolliert, was Sie eingeben und schreibt die Tastenfolgen in eine Datei namens Mskmap32.txt oder Mskmap.txt. Der Wurm sendet dann diese Datei per E-Mail an eine E-Mail-Adresse bei Hotmail. W32/Redist-C sucht dann nach zahlreicher Sicherheitssoftware und beendet sie, indem er Prozesse mit den folgenden Namen sucht und beendet: _AVP.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPMON.EXE AVPNT.EXE AVPTC32.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CCAPP.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIND.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLAW95CT.EXE CLEANER.EXE CLEANER3.EXE DV95.EXE DV95_O.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE EFINET32.EXE ESAFE.EXE ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE FPROT95.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICMOON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE NAVW.EXE IOMON98.EXE JED.EXE JEDI.EXE KPF.EXE KPFW32.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCAN.EXE N32SCANW.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVSCHED.EXE NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE PADMIN.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCCWIN98.EXE PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE VCONTROL.EXE VET95.EXE VET98.EXE VETTRAY.EXE VSCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSCAN40.EXE VSSTAT.EXE WEBSCAN.EXE WEBSCANX.EXE WFINDV32.EXE ZAPRO.EXE ZONEALARM.EXE | ||
SVCHOST.EXE 30.06.2003 (20:54 Uhr) widahäka | ||
smss.exe 30.06.2003 (20:56 Uhr) Lieschen | ||
ctfmon.exe 30.06.2003 (21:03 Uhr) hoffe das nützt was | ||
Winnet.exe 30.06.2003 (21:14 Uhr) Littlehelper | ||
SahDownloader 17.07.2003 (15:02 Uhr) Sarah | ||
ccapp.exe 29.08.2003 (12:00 Uhr) Symantick | ||
DVD test ct012004 09.01.2004 (21:57 Uhr) tocoff | ||
Zeige Nachricht 43 |
|
|
0 User im Forum. Kostenloses Forumhosting von plaudern.de. Dieses Forum im eigenen Design entführen. Impressum |