So heißt er und so findet man ihn


[ Antworten ] [ Ihre Antwort ] [ Forum www.rowitech.de ]

Abgeschickt von Meiki am 28 November, 2001 um 07:57:31

Antwort auf: Kann ich nur bestätigen von Meiki am 28 November, 2001 um 07:13:30:

Worm/Badtrans.B
Badtrans.B ist ein Wurm, der sich über Email mit Hilfe von MAPI (Messaging Application Program Interface) versendet. Der Name des Attachments setzt sich aus den folgenden drei Teilen zusammen, die in zufälliger Reihenfolge einer Liste entnommen werden:

erster Teil:

FUN
HUMOR
DOCS
S3MSONG
RESUME
IMAGES
PICS
CARD
SETUP
Sorry_about_yersterday
ME_NUDE
YOU_ARE_FAT!
HAMSTER NEWS_DOC
README
SEARCHURL

zweiter Teil:

.DOC.
.MP3.

.ZIP.

dritter Teil:

pif
scr

Einen Text im Body oder Betreff der Email gibt es nicht.

Wird das Attachment ausgeführt, kopiert der Wurm sich in das Windows Systemverzeichnis unter dem Namen KERNEL32.EXE und fügt den folgenden Key der Registry hinzu:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“Kernel32“=“\%WINDIR%\SYSTEM\KERNEL32.EXE

Weiterhin droppt der Wurm die Datei KDLL.DLL in das Windows System Verzeichnis, die ein Trojaner zur Protokollieren von Tastatureingaben darstellt.


: Gruß Meiki




Antworten:



Ihre Antwort

Name:
E-Mail:

Subject:

Text:

Optionale URL:
Link Titel:
Optionale Bild-URL:


[ Antworten ] [ Ihre Antwort ] [ Forum www.rowitech.de ]