FORUM 8

W32/Redist-C ist ein Internet-Wurm, der sich per E-Mail und über Peer-to-Peer-Netzwerke verbreitet.

W32/Redist-C sendet sich mittels Outlook an Einträge in Ihrem Adressbuch. Die von dem Wurm versendeten E-Mails haben folgende Merkmale:

Betreffzeile: Some card games
Text:
Hello,
Try these card games (in the attachments).
Enjoy!
Attachment: Card_install.pif

Betreffzeile: MP3 downloader
Text:
Hello,
Do you like MP3's?
Check out this cool MP3 downloader!
It works well on my computer :)
Cya!
Attachment: MP3Connect.pif

Betreffzeile: Modem booster
Text:
I had a fairly slow modem until I installed the file in the attachments! This program is a "Modem booster", it can make your internet connection go at most 2x faster :)
Enjoy!
Attachment: ModemBooster.exe

Betreffzeile: Fire ScreenSaver
Text:
Check out this ScreenSaver of fire!
I think that it's one of the best ScreenSavers that I have ever seen!
Cya!
Attachment: FireScreen.pif

Betreffzeile: Program
Text: Here is that program that you asked for yesterday.
Attachment: Winprg32.pif

Betreffzeile: Password list
Text:
Hello,
Here is that password list that you asked for about days ago.
It is in the attachments as "PswdLst.pif". It also includes my computer login password, so please dont show anyone else this file.
Thanks.
Attachment: PswdLst.pif

W32/Redist-C stellt sich in Peer-to-Peer-Netzwerken bereit, indem er sich in folgende Ordner kopiert:
KMD
Kazaa
Kazaa Lite
LimeWire\Shared
Gnucleus\Downloads
Gnucleus\Downloads\Incoming
Shareaza\Downloads
BearShare\Shared
Edonkey2000\Incoming
Edonkey
Incoming
Morpheus
Grokster\My Grokster
WinMX
ICQ\Shared Files
My Music
My Documents\My Music
My Downloads

W32/Redist-C erstellt zwei Kopien von sich in Ihrem Windows-Ordner, wobei er folgende Namen verwendet:
Mslg32.exe
Winprg32.pif

Der Wurm kopiert sich in Ihren Systemordner mit dem Namen:
Winlg32.pif

(Dateien, die mit W32/Redist-C infiziert sind, haben normalerweise eine Größe von 19456 Bytes.)

W32/Redist-C fügt folgenden Registrierungseintrag zu Ihrer Registrierung hinzu:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecureLogin

Dieser Wert wird so gesetzt, dass die Datei Mslg32.exe aufgerufen wird, sobald Sie sich an Ihrem Computer anmelden.

W32/Redist-C fügt außerdem folgenden Registrierungseintrag hinzu:

HKCU\Software\Zed\Outsider\Outsider3 = "W32/Outsider.C by Zed"

W32/Redist-C versucht Dateien zu überschreiben, deren Erweiterung mit "MP" und "WM" beginnt (dabei handelt sich meistens um Musikdateien). An den Dateinamen wird die zusätzliche Endung ".pif" angefügt. Obwohl der Dateiname genauso aussieht wie zuvor, starten Sie den Virus, wenn Sie in Zukunft auf eine dieser Dateien doppelklicken. Beachten Sie, dass die originalen Musikdateien zerstört werden. Diese können nicht einfach wiederhergestellt werden, es sei denn, Sie haben ein aktuelles Backup erstellt.

W32/Redist-C protokolliert, was Sie eingeben und schreibt die Tastenfolgen in eine Datei namens Mskmap32.txt oder Mskmap.txt. Der Wurm sendet dann diese Datei per E-Mail an eine E-Mail-Adresse bei Hotmail.

W32/Redist-C sucht dann nach zahlreicher Sicherheitssoftware und beendet sie, indem er Prozesse mit den folgenden Namen sucht und beendet:
_AVP.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CCAPP.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
FPROT95.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
NAVW.EXE
IOMON98.EXE
JED.EXE
JEDI.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VCONTROL.EXE
VET95.EXE
VET98.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZAPRO.EXE
ZONEALARM.EXE

	Computer! [ohne Text] 30.06.2003 (20:34 Uhr) tocoff
		msbb.exe 30.06.2003 (20:35 Uhr) Hackermacker
		W32/Redist-C 30.06.2003 (20:45 Uhr) Cräckmaschäck
		W32/Redist-C ist ein Internet-Wurm, der sich per E-Mail und über Peer-to-Peer-Netzwerke verbreitet. W32/Redist-C sendet sich mittels Outlook an Einträge in Ihrem Adressbuch. Die von dem Wurm versendeten E-Mails haben folgende Merkmale: Betreffzeile: Some card games Text: Hello, Try these card games (in the attachments). Enjoy! Attachment: Card_install.pif Betreffzeile: MP3 downloader Text: Hello, Do you like MP3's? Check out this cool MP3 downloader! It works well on my computer :) Cya! Attachment: MP3Connect.pif Betreffzeile: Modem booster Text: I had a fairly slow modem until I installed the file in the attachments! This program is a "Modem booster", it can make your internet connection go at most 2x faster :) Enjoy! Attachment: ModemBooster.exe Betreffzeile: Fire ScreenSaver Text: Check out this ScreenSaver of fire! I think that it's one of the best ScreenSavers that I have ever seen! Cya! Attachment: FireScreen.pif Betreffzeile: Program Text: Here is that program that you asked for yesterday. Attachment: Winprg32.pif Betreffzeile: Password list Text: Hello, Here is that password list that you asked for about days ago. It is in the attachments as "PswdLst.pif". It also includes my computer login password, so please dont show anyone else this file. Thanks. Attachment: PswdLst.pif W32/Redist-C stellt sich in Peer-to-Peer-Netzwerken bereit, indem er sich in folgende Ordner kopiert: KMD Kazaa Kazaa Lite LimeWire\Shared Gnucleus\Downloads Gnucleus\Downloads\Incoming Shareaza\Downloads BearShare\Shared Edonkey2000\Incoming Edonkey Incoming Morpheus Grokster\My Grokster WinMX ICQ\Shared Files My Music My Documents\My Music My Downloads W32/Redist-C erstellt zwei Kopien von sich in Ihrem Windows-Ordner, wobei er folgende Namen verwendet: Mslg32.exe Winprg32.pif Der Wurm kopiert sich in Ihren Systemordner mit dem Namen: Winlg32.pif (Dateien, die mit W32/Redist-C infiziert sind, haben normalerweise eine Größe von 19456 Bytes.) W32/Redist-C fügt folgenden Registrierungseintrag zu Ihrer Registrierung hinzu: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecureLogin Dieser Wert wird so gesetzt, dass die Datei Mslg32.exe aufgerufen wird, sobald Sie sich an Ihrem Computer anmelden. W32/Redist-C fügt außerdem folgenden Registrierungseintrag hinzu: HKCU\Software\Zed\Outsider\Outsider3 = "W32/Outsider.C by Zed" W32/Redist-C versucht Dateien zu überschreiben, deren Erweiterung mit "MP" und "WM" beginnt (dabei handelt sich meistens um Musikdateien). An den Dateinamen wird die zusätzliche Endung ".pif" angefügt. Obwohl der Dateiname genauso aussieht wie zuvor, starten Sie den Virus, wenn Sie in Zukunft auf eine dieser Dateien doppelklicken. Beachten Sie, dass die originalen Musikdateien zerstört werden. Diese können nicht einfach wiederhergestellt werden, es sei denn, Sie haben ein aktuelles Backup erstellt. W32/Redist-C protokolliert, was Sie eingeben und schreibt die Tastenfolgen in eine Datei namens Mskmap32.txt oder Mskmap.txt. Der Wurm sendet dann diese Datei per E-Mail an eine E-Mail-Adresse bei Hotmail. W32/Redist-C sucht dann nach zahlreicher Sicherheitssoftware und beendet sie, indem er Prozesse mit den folgenden Namen sucht und beendet: _AVP.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPMON.EXE AVPNT.EXE AVPTC32.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CCAPP.EXE CFIADMIN.EXE CFIAUDIT.EXE CFIND.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLAW95CT.EXE CLEANER.EXE CLEANER3.EXE DV95.EXE DV95_O.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE EFINET32.EXE ESAFE.EXE ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE FPROT95.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICMOON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE NAVW.EXE IOMON98.EXE JED.EXE JEDI.EXE KPF.EXE KPFW32.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCAN.EXE N32SCANW.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVSCHED.EXE NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE PADMIN.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCCWIN98.EXE PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE VCONTROL.EXE VET95.EXE VET98.EXE VETTRAY.EXE VSCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSCAN40.EXE VSSTAT.EXE WEBSCAN.EXE WEBSCANX.EXE WFINDV32.EXE ZAPRO.EXE ZONEALARM.EXE
		SVCHOST.EXE 30.06.2003 (20:54 Uhr) widahäka
		smss.exe 30.06.2003 (20:56 Uhr) Lieschen
		ctfmon.exe 30.06.2003 (21:03 Uhr) hoffe das nützt was
		Winnet.exe 30.06.2003 (21:14 Uhr) Littlehelper
		SahDownloader 17.07.2003 (15:02 Uhr) Sarah
		ccapp.exe 29.08.2003 (12:00 Uhr) Symantick
		DVD test ct012004 09.01.2004 (21:57 Uhr) tocoff