++ACHTUNG++neuer VIRUS++ACHTUNG++neuer VIRUS++

Achtung !!
Warnung vor einem neuen äußerst gefährlichen Virus mit verheerenden
Folgen!
Existenz ist bestätigt. Also nimm dich in acht. Codename des Virus ist
"ARBEIT". Wenn du "ARBEIT" von irgendwo bekommst, ob von deinen Kollegen
oder deinem Chef, per E-Mail oder via Internet, öffne es nicht, schaue es
nicht an und rühre es auf keinen Fall an.
Jeder, der bisher mit "ARBEIT"in Berührung kam, musste feststellen, dass
sein komplettes Privatleben gelöscht wurde und das Gehirn seine normale
Funktion aufgegeben hat.
Wenn du "ARBEIT" in Papierform bekommst, auf keinen Fall beachten! Nicht
lesen, sondern sofort in den Papierkorb weiterleiten.
Nimm deine Jacke sowie 2 gute Freunde und gehe direkt in die nächste
Kneipe und bestelle drei Bier. Wenn du dies 14 mal wiederholst, wirst du
feststellen, dass du "ARBEIT" vollständig aus deinem Gehirn gelöscht hast.
Leite diese Warnung sofort an mindestens 10 nahestehende Freunde oder
Bekannte weiter. Solltest du feststellen dass du keine 10 nahestehenden
Freunde oder Bekannte hast, bedeutet dies', das du infiziert bist und der
Virus "ARBEIT" dein Leben schon vollkommen unter Kontrolle hat.
Hoffe, die Warnung kommt nicht zu spät!

Viel Glück
julius

%WINDIR%\Start Menu\Programs\StartUp\%name% on Win9x oder
Documents and Settings\%user%\Start Menu\Programs\StartUp\%name% auf Win2k/XP
wo %user% der eingeloggte Benutzername ist

Der Wurm lässt eine dll Datei in %SYSDIR% hinter, die zum Einloggen aller Keystrokes genutzt wird. Das dll wird als Trojan.KeyLogger.BugBear.A entdeckt.
Also, der Wurm verfasst 2 .dat Dateien in %WINDIR% und 2 .dll Dateien in %SYSDIR%. Diese Dateien werden vom Virus genutzt, um alle von diesem Computer gesammelten Informationen zu speichern.

Der Wurm hat einen Pfad, der periodisch die Existänz seiner Dateien und des runonce Registry Schlüssels prüft und der die folgenden Prozessen tötet:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

Auf einem weiteren Pfad, sucht er nach Mail Datenbanken mit den folgenden Extensionen
.ods .inbox .mmf .nch .mbx .eml .tbb .dbx und sammelt er einige Mails die er da findet.
Der Wurm verbreitet sich in das locale Netzwerk, indem er den Startup Folder in Netzwerk Shares sucht und sich da lässt.
Er öffnet auch Port 36794 und wartet auf HTTP Anschlüsse.

Entfernung:

- automatische Entfernung: lassen Sie BitDefender die infizierten Dateien löschen

Virus analysiert von:
Sorin Victor DUDEA
BitDefender Virus Researcher






 
Quelle: de.bitdefender.com/virusi/virusi_descrieri.php?virus_id=97

gruss julius