Win32.Wallon.A@mm - Virensignatur

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

Bezeichnung

Name

Typ

Wallon.A

Win32.Wallon.A@mm

Ausführender Trojaner Mass Mailer

Schaden

Entdeckt

Ermittelt

Mittel

11.05.2004

Größe

Verbreitung

Noch unterwegs

36,352 bytes, 150,528 bytes

Gering

Andere Namen

Win32/Wallon.Worm | I-Worm.Wallon | WORM_WALLON.A | Win32.HLLW.Wallon.A

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS

Symptome :

- Präsenz der folgenden Ordner:
wmplayer.exe hat 36,352 bytes (gewöhnlich in: C:Program OrdnersWindows Media Playerwmplayer.exe)
C:alpha.exe (150,528 bytes)
- Präsenz folgender Registry Keys oder Entries:
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions{c95fe080-8f5d-11d2-a20b-00aa003c157a}]
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B1}]
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B2}]
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B3}]
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B4}]
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerExtensions{FE5A1910-F121-11d2-BE9E-01C04A7936B5}]

Technische Beschreibung:

Dieser Wurm nutzt zwei Schwachstellen aus: the ADODB.Stream object in ActiveX und eine URL obfuscation in Internet Explorer
Empfohlene Updates:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
Dieser Wurm kommt per Email, hat keinen Anhang,, aber der Body enthält einen Link auf:
http://drs.yahoo.com/???????????/NEWS/
??????????? ist möglicherweise eine gültige Domain.
Sobald der User auf diesen falschen Link klickt, lädt der ADODB.Stream exploit in einem CHM Ordner einen ausführenden Ordner aus dem Internet runter, überschreibt damit wmplayer.exe und führt den neuen Ordner aus. Die Downloader Komponente vereinnahmt die Internet Explorer Startseite und Default Suche mit:
http://www.google.com.super-fast-search.apsua.com/fast-find.htm
http://www.google.com.super-fast-search.apsua.com/search.htm

und schafft 5 Buttons im Internet Explorer (namens SEARCH, ENTERTAINMENT, PILLS, SECURITY, SEARCH) Danach versucht der Wurm aus dem Internet einen anderen Ordner runterzuladen nach c:/alpha.exe (150,528 bytes)und auszuführen
Wenn alpha.exe läuft, sucht er nach Email Adressen und verschickt sich.

Entfernung:

In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier

Win32.Wallon.A@mm Removal Tool suchen & downloaden oder hier

zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon

aktuelle Viren Meldungen

weitere Dienste

An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:

Portscanner
der Portscanner dient dazu Ihre Firewall zu testen

Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.

Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.

AntiVirus News Besuchen Sie auch den tagesaktuellen Antivirus News Bereich AntiVirus News	Testberichte Nach Herstellern geordnet, die User Virenscanner Testberichte hier : Testberichte	Spyware Lexikon Nach Vorbild unseres Virenlexikons haben wir auch ein eigenes : Spyware Lexikon	Tutorials Bereiche Von Virenschutz über Firewall bis Wlan erläutert in unseren Tutorials Bereichen Virenschutz Tutorials	Virenscanner Übersicht Produkt Empfehlungen von Security Software hier bei uns in der Übersicht Übersicht Virenscanner
Virenschutz \| Antivirus \| Virenscanner \| Spyware \| Trojaner
				Datenschutz