|
AntiVirus
Win32.Gruel.A(B,C)@mm - Virensignatur
A |
B |
C |
D |
E |
F |
G |
H |
I |
J |
K |
L |
M |
N |
O |
P |
Q |
R |
S |
T |
U |
V |
W |
X |
Y |
Z
| Bezeichnung |
Name |
Typ |
| Gruel.A |
Win32.Gruel.A(B,C)@mm |
Ausführender Mass Mailer |
| Schaden |
Entdeckt |
Ermittelt |
| Hoch |
16.07.2003 |
16.07.2003 |
| Größe |
Verbreitung |
Noch unterwegs |
| 102,400 bytes |
Gering |
Unbekannt |
| Andere Namen |
| W32.Gruel@mm (Symantec) | W32/Gruel-A (Sophos) |
|
|
 |
Symptome :
|
• Präsenz der Datei:
C:\Rundll32.exe
• Präsenz einer der nächsten Registry Keys:
[HKCU\Software\kIlLeRgUaTe 1.03]
mit den Registry Entries: FirstRun, Password, AppPath,
[HKCU\Software\VB und VBA Program Settings\KILLERGUATE\KILLERGUATE]
mit den Registry Entries: st, start, now, reg, alt
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"MediaPath"="C:\Rundll32.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\]
"Rundll32"="C:\Rundll32.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX\]
"DevicePath"="C:\Rundll32.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SETUP\]
"NetCache"="C:\Rundll32.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\]
"ProxyDevice"="C:\Rundll32.exe"
[HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\]
"Window Title"="kIlLeRgUaTe 1.03, I mAke ThIs vIrUs BeCaUsE I dOn'T hAvE NoThInG tO dO!!"
Er setzt auch die nächsten Registry Entries:
[HKCR\exeDatei\shell\open\]
"command"="%VIRUS% %1
[HKCR\comDatei\shell\open\]
"command"="%VIRUS% %1
[HKCR\batDatei\shell\open\]
"command"="%VIRUS% %1
[HKCR\pifDatei\shell\open\]
"command"="%VIRUS% %1
[HKCR\htaDatei\shell\open\]
"command"="%VIRUS% %1
[HKCR\htDatei\shell\open\]
"command"="%VIRUS% %1
wo %VIRUS% der volle Pfad und Name der infizierten Datei ist(z.B.: C:\My Documents\Tool.exe)
|
Technische Beschreibung:
|
Der Virus kommt als Emailanhang an.
Beim Betrieb macht er u.a. Folgendes:
Er kopiert sich als C:\Rundll32.exe;
Er platziert sich als:
Version A@mm:
in C:\windows\Program Files\Kazaa\My Shared Ordner\Norton 2003 Pro.exe
C:\WINNT\Program Files\Kazaa\My Shared Ordner\Norton 2003 Pro.exe
Versions B@mm und C@mm:
in C:\windows\Program Files\Kazaa\My Shared Ordner\Windows XP KeyGen 2.5.exe
in C:\WINNT\Program Files\Kazaa\My Shared Ordner\Windows XP KeyGen 2.5.exe
Er sendet Kopien an alle Email addresses in Outlook;
Er versucht Dateien zu löschen wie:
C:\AUTOEXEC.bat
C:\config.sys
%WINDOWS%\System32\*.dll
%WINDOWS%\System32\*.exe
%WINDOWS%\System32\*.com
%WINDOWS%\System32\*.ocx
%WINDOWS%\System32\ntoskrnl.exe
%WINDOWS%\System32\command.com
%WINDOWS%\regedit.exe
wo %WINDOWS% zum Windows Ordner (oder Winnt) weist.
Eventuell versucht er verschiedene Dateien und Unterordner vom Windows Ordner zu löschen:
(z.B.: C:\WINDOWS\SYSTEM\*.DLL, *.EXE,
C:\WINDOWS\SYSTEM\PRECOPY\*.CAB,
C:\WINDOWS\SYSTEM32\DRIVERS\*.SYS und sogar den gesamten Ordner C:\WINDOWS\SYSTEM32)
Nach einer Weile zeigt er vor dem Neustart folgende Meldung an:
Windows has encountered a problem a needs to close. We are sorry for the inconvenience.
Zu diesem Zeitpunkt fehlen dem System schon kritische Dateien und es kann eventuell nicht mehr laden/neustarten.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
 Win32.Gruel.A(B,C)@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
|
 |
