Dieser Trojaner kommt in einer 809472 Bytes großen, selbstentpackenden, WinZip EXE-Datei. Nirvana stammt aus dem deutschsprachigem Raum. Nach dem Starten werden die Dateien in das C:\windows\Fonts\ Verzeichnis extrahiert. Dies hat zur Folge, indem man im Windows-Explorer die Dateien nicht erkennt. Lediglich über die Windows-Suchfunktion tauchen diese Dateien in sichtbarer Form auf. Die Dateien sollten alle aus dem Fonts Verzeichnis unter DOS gelöscht werden: ARIAL.exe - 76800 Bytes MSWINSCK.ocx - 108336 Bytes MSVBM50.dll - 1355776 Bytes Der Trojaner erzeugt einen Eintrag in der Registry : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run TheDoor = C:\Windows\FONTS\Arial.exe |