Name
des Virus |
W32/NewApt.worm |
Typ |
Internet Wurm |
Alias |
Worm.NewApt |
Infizierung:
Der Wurm ist in Staaten Europas, Amerikas und Asiens in freier Wildbahn gesichtet worden. Er verbreitet sich (natürlich) über Emails in einer infizierten Anlagedatei. Der bisher bekannten Namen der Anlagedatei sind:
PANTHER.EXE, FARTER.EXE, GADGET.EXE, BOSS.EXE, IRNIGANT.EXE, MONICA.EXE, CASPER.EXE, SADDAM.EXE, FBORFW.EXE, PARTY.EXE, CUPID2.EXE, HOG.EXE, GOAL1.EXE, BBOY.EXE, PIRATE.EXE, BABY.EXE, VIDEO.EXE, GOAL.EXE, COPIER.EXE, THEOBBQ.EXE, COOLER1.EXE, PANTHR.EXE, COOLER3.EXE, CHESTBURST.EXE, G-ZILLA.EXE.
Die Betreffzeile der Infizierungsmail lautet "Just for your eyes" oder "Re: Just for your eyes". Sie kann einen Text enthalten oder das Textfeld kann leer sein. Wird die angefügte EXE-Datei ausgeführt, so übernimmt der Wurm die Kontrolle und installiert sich in euer System.
Schadensroutine:
Wenn der Wurm ausgeführt wird, kopiert er sich unter seinem aktuellen Namen (s.o.) zuerst ins Windowsverzeichnis. Er registriert seine Kopie im Registrierungs editor unter
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mit verschiedenen (je nach Dateinamen) Einträgen und dem Wert "C:\WIN\EXE-Datei-Name /x". Dieser sorgt dafür, daß das Virusprogramm bei jedem Start ausgeführt wird. Der Wurm sorgt beim danach für die gefälschte Nachricht
The dynamic link library giface.dll could not be found in specified path
D:\SAMPLES;C:\WINDOWS\SYSTEM;C:\WINDOWS;C:\WINDOWS\COMMAND
die sein Vorhandensein tarnen und zu einem Neustart führen soll.
Des weiteren kreiert und initialisiert er folgende Registrierungsschlüssel unter HKEY_CURRENT_USER\Software\Microsoft\Windows:
itn = , cat = , cd = , lk= , lms= , mda= , mde= .
Der Wurm registriert sich als Serviceprogramm und führt sich so bei jedem Start nahezu unsichtbar selbst aus. Dabei sucht er auf allen Laufwerken nach Internet-Dateien (MS Mail, Outlook Express, Netscape Navigator etc.) und öffnet diese Dateien und schickt sich an gefundene Emailadressen weiter.
Schutz & Entfernung:
Um den Wurm zu entfernen, müssen ihr den Registrierungseintrag unter
"Run" löschen und danach alle infizierten Dateien entfernen. Norton
Anti Virus bieten ein Update zum Download an: Download
Virus Definition Updates.
Bemerkungen:
Der Wurm löscht sich selbst am 12. Juni 2000 von eurem PC indem er den Wert unter "Run" löscht. Danach wird der Wurm nicht mehr beim Start aktiviert. Wird das Datum aber auf einen Wert vor dem 12. Juni 2000 gesetzt, so kann über eine infizierte EXE-Datei der Wurm erneut gestartet werden.
Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt.
Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind
verboten.
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch
Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus
etwaig entstehenden Schaden keine Verantwortung übernommen werden. |
|
