H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

Virus: „W32/ProLin@mm“

Der Internetwurm W32/ProLin@mm wurde in Visual Basic 6 geschrieben und versendet sich mit dem Attachment (Dateianhang) 'CREATIVE.EXE'. Als Icon enthält er das 'Shockwave Media Player' Symbol.

Wird dieser Internet-Wurm ausgeführt, erstellt er von sich folgende Kopien in folgenden Verzeichnissen:
C:\CREATIVE.EXE , C:\%WINDOWS%\TEMP\CREATIVE.EXE und C:\%WINDOWS%\STARTMENÜ\PROGRAMME\AUTOSTART\CREATIVE.EXE

Im Hauptverzeichnis des Laufwerkes C:\ erstellt der Internet-Wurm eine Datei 'MESSAGEFORU.TXT', die folgende Mitteilung des Autors erhält. folgendes schreibt:

“Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin“

Darunter wird eine Liste mit den erstellten Dateien und dem dazugehörigen Pfad angezeigt. Allerdings werden diese Dateien im Hauptverzeichnis des Laufwerkes C:\ angelegt (und nicht, wie es in der Liste angegeben ist, beispielsweise unter C:\WINDOWS\JAVA\....) und mit dem Anhang CHANGE AT LEAST NOW TO LINUX also “%DATEI% .ZIPchange at least now to LINUX“ oder “%DATEI% .JPGchange atleast now to LINUX“ angelegt.

“C:\WINDOWS\JAVA\Packages\NBDRZ1F5.ZIP
C:\WINDOWS\JAVA\Packages\FPR9ZNXF.ZIP
C:\WINDOWS\JAVA\Packages\CAIYR7FT.ZIP
C:\WINDOWS\JAVA\Packages\6BVDF1NF.ZIP
C:\WINDOWS\JAVA\Packages\FP7HFDR9.ZIP
C:\WINDOWS\JAVA\Packages\LVVBBDJP.ZIP
C:\WINDOWS\JAVA\Packages\E86LVJNP.ZIP
C:\WINDOWS\JAVA\Packages\PNRDJDFD.ZIP
C:\WINDOWS\JAVA\Packages\Q27FD3BL.ZIP
C:\Program Files\Common Files\Microsoft Shared\Stationery\Balloon Party Invitation Bkgrd.jpg
C:\Program Files\Common Files\Microsoft Shared\Grphflt\MS.JPG
C:\Program Files\WinZip\EXAMPLE.ZIP
C:\Program Files\Microsoft Office\Templates\Access\100.JPG
C:\Program Files\Microsoft Office\Templates\Access\GRAY.JPG
C:\Program Files\Microsoft Office\Templates\Access\GRAYST.JPG
C:\Program Files\Microsoft Office\Templates\Access\MC.JPG
C:\Program Files\Microsoft Office\Templates\Access\MCST.JPG
C:\Program Files\Microsoft Office\Templates\Access\MSACCESS.JPG
C:\Program Files\Microsoft Office\Templates\Access\SKY.JPG
C:\Program Files\Microsoft Office\Templates\Access\STONES.JPG
C:\Program Files\Microsoft Office\Templates\Access\TILES.JPG
C:\Program Files\Microsoft Office\Templates\Access\ZIGZAG.JPG“

Diese Dateien sind Java-Scripts, die aber nicht beschädigt oder vom Virus infiziert worden sind. Diese können einfach gelöscht werden.

Danach versucht sich der Internet Wurm via Outlook an alle im Adreßbuch stehenden Email-Adressen zu versenden.

Diese Email sieht folgendermaßen aus:

BETREFF:

A great Shockwave flash movie

EMAIL BODY:

Check out this new flash movie that I downloaded just now ... It's Great
Bye

ATTACHMENT:
CREATIVE.EXE

Um den W32/ProLin@mm entfernen zu können, müssen Sie auf die DOS-Ebene wechseln und die CREATIVE.EXE in allen oben genannten Verzeichnissen löschen. Starten Sie nun Windows neu und löschen in der Task-Leiste im Start-Menü unter Programme / Autostart den dortigen Eintrag 'CREATIVE.EXE'. Als letzteres können sie noch die .ZIP und .JPG-Dateien im Hauptverzeichnis löschen, die dort vom Wurm erstellt worden sind (siehe auch die Datei MESSAGEFORU.TXT).

  weitere Virenbeschreibungen
  Virenkunde