| Alias-Namen: WORM_MALDAL.C, KERZAC.A, KERZAC, W32/Maldal.c@MM, W32/Reeezak.A@mm, I-Worm.Keyluc, W32/Zacker-C Virentyp: Wurm (Visual Basic), EXE-Datei Verbreitung: Als E-Mail Dateianhang (christmas.exe / Grösse 37 KB) an alle Adressen aus Outlook und MS-Messenger.
Betreff/Subject: Happy New Year
Nachricht:
Hii I can?t describe my fellings But all I can say is Happy New Year :) Bye Bekannte Schäden: Nimmt Eintragungen in der Registry vor: Damit der Wurm bei Systemstart ausgeführt wird:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion - RunZaCker = "%windows%CHRISTMAS.EXE"
Computername wird in "ZaCker" umbenannt:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlComputerName - ComputerNameComputerName = "ZaCker"
Legt neue Startseite für Internet Explorer fest:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain - Start page = http://geocites.com/xxxxx/ZaCker.htm
Deaktiviert die Tastatur, Dateien mit den Endungen .dll, .drv, .tsp und .vxd werden aus dem Systemverzeichnis gelöscht. Über die neu eingetragene Startseite wird ein VBScript (Name outlook.vbs) installiert, sobald diese durch den Anwender besucht wird und es die Konfigurationen des zugrundeliegenden Browser zulassen. Auch diese Datei enthält einen Wurm, der an alle Kontaktadressen eine E-Mail mit einem Link zu der infizierten Seite versendet, Systemdateien löscht und versucht Schutzprogramme (Firewalls, Virenscanner etc.) zu deaktivieren. Die AV-Firmen scheinen sich in diesem Fall überhaupt nicht mit der Bezeichnung einig zu sein, siehe "Alias-Namen" ! Informationen Englisch: TrendMicro | McAfee | Sophos | CAI | Norman | Panda | Eset | Symantec | Informationen Deutsch: TrendMicro | |