W32/Alcop-B

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

W32/Alcop-B ist ein Wurm für die Windows-Plattform.

Die W32/Alcop-B Programmdatei hat ein Symbol, das weitläufig mit Microsoft-Worddokumenten in Verbindung gebracht wird. Wenn er gestartet wird, kopiert sich der Wurm als Lsass.exe in den Windows-Ordner. Diese neue Instanz wird dann gestartet und läuft kontinuierlich im Hintergrund.

Da der Name des Wurmprogramms mit dem eines kritischen Systemprozesses übereinstimmt, der von Windows XP/2000 benutzt wird, kann der Benutzer den Prozess Lsass.exe nicht über den Windows Task-Manager beenden.

W32/Alcop-B untersucht das Laufwerk A: des Computers alle 6 Sekunden nach Dateien mit einer .doc-Erweiterung. Alle gefundenen Dokumente werden gelöscht und es wird eine Kopie des Virus auf der Diskette abgelegt. Die Viruskopie hat einen Dateinamen, der mit dem des gelöschten Dokuments übereinstimmt.

W32/Alcop-B kann einen der folgenden Registrierungseinträge erstellen, damit er automatisch gestartet wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Lsass = C:\Windows\Lsass.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Winlogon = C:\Windows\Lsass.exe

W32/Alcop-B speichert außerdem die kumulative Dauer (in Sekunden), wenn der Wurm die folgende Datei ausgeführt hat:

C:\Windows\System32\GeDzaC.mlh

Erreicht der Zähler 7000 Sekunden, erstellt der Wurm die folgende HTML-Datei und öffnet sie in einem Standard-Browser:

C:\MLHR_Corporation_GeDzAc.htm

W32/Alcop-B versucht daraufhin, jede Datei auf Laufwerk C:\ mit folgendem Text zu überschreiben:

"Virus MlourdesHReloaded II ha atakdo esta computadora
Virus 100% Mexicano, no es muy peligroso que digamos
Pero tu has sido el rival mas debil Adios!
Saludos a Ana Paty de Sinaloa y a Gedzac Labs
Espero y se hallan pasado una feliz Navidad y un prospero ano nuevo
Feliz 2004 para todos
Para mayor informacion enviar un e-mail a xxxx@xxxxx.com
donde hablamos de computacion en tu idioma
*-Dime solo esta vez, que has pensado... solo esta vez-*"