| Bezeichnung |
Name |
Typ |
| Auric |
Win32.Auric.A@mm |
Ausführender Wurm Massen Mailer |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
30.05.2003 |
30.05.2003 |
| Größe |
Verbreitung |
Noch unterwegs |
| 240 KBytes |
Hoch |
Ja |
| Andere Namen |
| I-Worm.Magold.a (Kaspersky), WORM_AURIC.A (Trend Micro), |
|
|
 |
Symptome :
|
• Vorgetäuschter DirectX Fehler:
• Alle Fenster werden rot:
• Viele leere text files auf dem Desktop, raVeNNNN (NNNN ist eine Nummer)
• Nichtangeforderte Webseite www.offspring.com öffnet sich
• Angehängter Text zum aktuell geöffneten Fenster:
"=:-) OFFSPRING is co0L =:-) PUNK'S NOT DEAD =:-)"
• Antivirus/Firewall Prozess wird beendet.
• Verzögerung beim Öffnen von ausführenden Dateien
|
Technische Beschreibung:
|
• Der Wurm versendet sich selbst über alle Adressen im Windows Adressbuch, ebenso wie von Email Adressen, die von *.ht* Dateien auf der Festplatte des Opfers identifiziert werden.
Nachdem die Nachricht an alle Empfänger versandt wurde, schickt der Wurm eine andere Mail an den Viren Coder, die Infos über den Computer des Opfers enthält
• Die Email Adresse des Empfängers wird gespeichert in: %SystemDir%\ravec.txt
• Ein vorgetäuschter Fehler wird angezeigt, wenn der Wurm das erstemal läuft, und nachdem die Mails gesendet wurden, erschafft der Wurm viele leere Desktop Dateien mit Namen raVe, die Farbe des Fensters wird Rot, und Default Verbindungen für ".exe", ".com", ".bat", ".scr", ".pif" Dateien werden ersetzt, die die ausführende Wurmdatei ansteuern – das bedeutet, dass jedesmal, wenn eine ausführende Datei gestartet wird, Windows statt dessen den Virus startet. Ab und zu wird der folgende Text im aktuellen Fenster angezeigt: "=:-) OFFSPRING is co0L =:-) PUNK'S NOT DEAD =:-)"
• Der Wurm kopiert sich selbst in "C:\%WINDIR%\raVe\Maya Gold.scr "C:\%WINDIR%\Maya Gold.scr" und "C:\%WINDIR%\raVe.exe" und schafft einen Registry Key, so dass er als Startup fungiert.
Zusätzliche Registry Einträge werden geschaffen, um die Virusaktivität zu verfolgen:
• Prozesse, die die folgenden Strings enthalten, werden beendet: "AV", "NORT", "AFEE", "VIR", "ANTI".
•Die folgenden Erweiterungen sind mit dem ausführenden Virus verknüpft; ".exe", ".scr", ".com", ".bat", ".pif".
• Eine Kopie des Wurmes wird in die folgenden Peer-To-Peer Programm Directories geschrieben:
LimeWire, Gnucleus, Shareaza, BearShare, Edonkey2000, Morpheus,
Grokster, ICQ/Shared Files, Kazaa.
• Mirc and Pirch sind auch infiziert durch Ersetzen des Sripts script.ini oder events.ini if falls es besteht, durch neue, so dass jedesmal, wenn der User eines der Programme nutzt, das Opfer seinen Virus per DCC seinen Virus versendet.
• Wenn verbundene Netzwerk-Laufwerken gefunden werden, kopiert sich der Wurm hinein und schafft die Datei autorun.inf , die dann dort läuft.
• Der Wurm versucht, sich selbst über FTP von ftp.fw.hu upzudaten.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Auric.A@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
