hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Verbreitungsmethode |
|
|---|---|
| Betroffene Betriebssysteme | Windows |
| Schutz erhältlich seit | 02 März 2005 13:43:10 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Entfernen Sie alle Verweise auf alle von Ihnen gelöschten Dateien.
Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:
HKU\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run\
Entfernen Sie alle Verweise auf alle von Ihnen gelöschten Dateien.
Schließen Sie den Registrierungseditor.
Weitere Informationen
W32/Mytob-A ist ein Massmailing-Netzwerkwurm und ein Backdoor-Trojaner, der Nutzer von IRC-Programmen zum Ziel hat.
Wenn er gestartet wird, kopiert sich W32/Mytob-A als msnmsgr.exe in den Standard-Systemordner.
W32/Mytob-A verwendet seine eigene SMTP-Engine, um sich an E-Mail-Adressen zu senden, die er auf dem Computer des Opfers aufgespürt hat, vermeidet jedoch Adressen, die bestimmte Zeichenfolgen enthalten.
W32/Mytob-A öffnet einen IRC-Kanal namens yakuza für eingehende Befehle eines remoten Angreifers und kann außerdem Backdoor-TCP-Verbindungen öffnen.W32/Mytob-A ist ein Massmailing-Netzwerkwurm und ein Backdoor-Trojaner, der Nutzer von IRC-Programmen zum Ziel hat.
Wenn er gestartet wird, kopiert sich W32/Mytob-A als msnmsgr.exe in den Standard-Systemordner und erzeugt folgende Registrierungseinträge:
HKCU\System\CurrentControlSet\Control\Lsa\
MSN
msnmsgr.exe
HKCU\Software\Microsoft\OLE\
MSN
msnmsgr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
MSN
msnmsgr.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MSN
msnmsgr.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MSN
msnmsgr.exe
W32/Mytob-A verwendet seine eigene SMTP-Engine, um sich an E-Mail-Adressen zu senden, die er auf dem Computer des Opfers aufgespürt hat, vermeidet jedoch Adressen, die bestimmte Zeichenfolgen enthalten. Von W32/Mytob-A gesendete E-Mails haben folgende Merkmale:
Absender: Die Adresse des Absenders wird von W32/Mytob-A gefälscht.
Betreffzeile:
"Hi",
"Hello",
"Error",
"test",
"Mail Transaction Failed",
"Status",
"Mail Delivery System",
"Server Report",
Random text
Text:
"Mail transaction failed. Partial message is available.",
"The message contains Unicode characters and has been sent as a binary
attachment.",
"The message cannot be represented in 7-bit ASCII encodingand has been sent as
a binary attachment.",
"test",
No body text,
Random characters.
Attachmentname:
test,
text,
body,
readme,
doc,
document,
data,
file,
message,
random characters,
Mögliche Attachmenterweiterungen,
pif,
scr,
zip,
cmd,
exe.
Wenn das Attachment ein zip-Archiv ist, kann die archivierte Datei eine Doppelerweiterung haben, z. B. "readme.htm .exe".
W32/Mytob-A öffnet einen IRC-Kanal namens yakuza für eingehende Befehle eines remoten Angreifers und kann außerdem Backdoor-TCP-Verbindungen öffnen.
|
