| Dieser Trojaner kommt in einer 809472 Bytes großen, selbstentpackenden, WinZip EXE-Datei. Nirvana stammt aus dem deutschsprachigem Raum.
Nach dem Starten werden die Dateien in das C:\windows\Fonts\ Verzeichnis extrahiert.
Dies hat zur Folge, indem man im Windows-Explorer die Dateien nicht erkennt. Lediglich über die Windows-Suchfunktion tauchen diese Dateien in sichtbarer Form auf. Die Dateien sollten alle aus dem Fonts Verzeichnis unter DOS gelöscht werden:
ARIAL.exe - 76800 Bytes
MSWINSCK.ocx - 108336 Bytes
MSVBM50.dll - 1355776 Bytes
Der Trojaner erzeugt einen Eintrag in der Registry :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
TheDoor = C:\Windows\FONTS\Arial.exe |