hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Schutz erhältlich seit | 17 Februar 2004 12:51:03 (GMT) |
|---|---|
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Weitere Informationen
W32/Tanx-A ist ein Wurm, der sich per E-Mail verbreitet.
Der Wurm wird in einer E-Mail mit folgenden Merkmalen versendet:
Betreffzeile: ID <zufällige Zeichen>... thanks
Text: Yours ID <zufällige Zeichen>
--
Thank
Angehängte Datei: <zufällig_erzeugt>.exe
Die Sender-Adresse ist gefälscht.
Wenn die angehängte infizierte Datei gestartet wird, kopiert sich W32/Tanx-A als au.exe in den Windows-Systemordner und ändert den folgenden Registrierungseintrag, so dass die Wurmdatei beim Start von Windows aktiviert wird:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe
= <windows-systemordner>\au.exe
Wenn der Dateiname der gestarteten Datei nicht au.exe lautet, versucht der Wurm, die Windows Sound Recorder Anwendung sndrec32.exe zu starten.
W32/Tanx-A durchsucht alle festen Laufwerke rekursiv nach Dateien mit den Erweiterungen WAB, TXT, HTM und HTML. Diese Dateien werden nach E-Mail-Adressen durchsucht, die später verwendet werden, um die Sender- und Empfänger-Felder der versendeten E-Mail auszufüllen.
W32/Tanx-A öffnet einen TCP-Port 8866 und wartet auf Verbindungen. Über die Backdoor kann die Wurmdatei aktualisiert werden.
W32/Tanx-A verbindet sich mit folgenden Websites und sendet Informationen über den Port sowie die zufällig erzeugte Infektions-ID:
www.47df.de
www.strato.de und
intern.games-ring.de
W32/Tanx-A speichert im Registrierungsschlüssel HKCU\Software\Windows2000 weitere Datenwerte (z. B. die zufällig erzeugte Infektions-ID). Die verwendeten Registrierungswerte sind gid und frn.
W32/Tanx-A verbreitet sich nicht mehr nach dem 25. Februar 2004.
|
