btw. Kennt jemand folgende Fehlermeldung? --- YANOPUEDOSERYOMISMO File access denied ---
Bekommt ne Kollegin von mir beim Hochfahren von Win XP ============================================ W32/Kitro-D Alias W32/Duni.worm.c, WORM_ARGEN.A, I-Worm.Kitro.d, W32/Grade.A Typ Win32-Wurm Kommentar W32/Kitro-D ist ein E-Mail-Wurm, der in einer E-Mail mit einer der folgenden Kombinationen aus Betreffzeile, Text und Attachmentnamen erscheint: Betreffzeile: Te han enviado una postal Text: Postales NetWork (c)1999-2002 Attachment: PostalDeAmistad.pif Betreffzeile: Leelo y reenvialo a quienes aprecias. Text: Si lo que expone este documento es lo que sientes, envialo a tus amigos, algun sue�o se hara realidad. Attachment: Cristo_Nos_Ense�a.Doc.pif Betreffzeile: Listado de falsas alarmas Text: Te envio la lista de falsas alarmas, para que no hagas casoa las mentiras, chao que estes bien Attachment: Listado.txt.by.Microsoft.com Betreffzeile: This is a last hoax list Text: I send the list of false alarms, so that you do not make case to the lies bye Attachment: List.txt.by.Microsoft.com Betreffzeile: Para los amigos Text: Facturas Aqui adjunto las Facturas que nos ha pedido, ruego que nos envie lo que dentro del documento se especifica, Saludos. Attachment: Facturas556.XLS.pif Betreffzeile: Fw: Enviame tu foto Text: bueno, aqui esta mi foto cuando estuve viviendo en los andes, disfruta el paisaje Attachment: EnLosAndes.pif Betreffzeile: Es posible que nos roben la identidad Text: lee el documento y veras que puede ser verdad, luego enviaselo a tus amigos para que no les suceda eso Attachment: YaNoPuedoSerYoMismo.DOC.pif Betreffzeile: Messenger vulnerable Text: si, ahora nos pueden espiar la cuenta, te envio el documento donde dice que es lo que se debe hacer para arreglarlo, arreglalo lo antes posible Attachment: ReparacionDeMessenger.DOC.pif Betreffzeile: 77:Test de amor Text: Hace el test de amor, calcula el puntaje y reenvialo a tus amigos, pero recuerda hacerlo con Copia Oculta para que no sepan nuestras direcciones Attachment: TestDeAmoryAmistad.DOC.pif Wenn er aktiviert wird, kopiert sich der Wurm an folgende Orte: Nach C:\ als: " .exe" "AUTOEXEC.BAT .exe" "AVP-SpanishPatch.exe" "AVP40Crack.exe" "BOOTLOG.PRV .exe" "COMMAND.COM .exe" "Config.sys .exe" "CopyPSXgamesV12.exe" "CounterStrikeMoreServers.exe" "GameCube-FreeEmulator.exe" "GamesPSX2Emulator.exe" "HackTools.exe" "IO.SYS .exe" "Jedi2-FullCrack.exe" "MessengerSkins29.exe" "MP3EncoderDecoder58.exe" "MSDOS.--- .exe" "MSDOS.SYS .exe" "PandaAllCracks.exe" "PSX2-Emulator.exe" "PSXEmulator_Full.exe" "ResidentEvil-Crack.exe" "SCANDISK.LOG .exe" "Sexo-Asiatico-FullVideo.exe" "SexoenlaCalle-Video.exe" "SUHDLOG.DAT .exe" "SYSTEM.1ST .exe" "VIDEOROM.BIN .exe" "W98ToXpActualization.exe" "WindowsXP-Serials.exe" "X-Box_Emulator.exe" "z .exe" und nach C:\Windows als: "Cristo_Nos_Ensea.Doc.pif" "EnLosAndes.pif" "Facturas556.XLS.pif" "List.txt.by.Microsoft.com" "Listado.txt.by.Microsoft.com" "PostalDeAmistad.pif" "ReparacionDeMessenger.DOC.pif" "ShellIconCache" "TestDeAmoryAmistad.DOC.pif" "YaNoPuedoSerYoMismo.DOC.pif" Der Wurm setzt folgenden Registrierungseintrag, der auf eine der erstellten Dateien in C:\Windows verweist: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NWexe Der Wurm erstellt ebenfalls folgende Registrierungseintr�ge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAZAAkCuf = 9 HKLM\Software\KasperskyLab\SharedFiles\Folder = <zuf�llige Ziffer> HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PAV.EXE = <zuf�llige Ziffer> HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ZonaVirus = 0 Der Wurm legt ein Visual-Basic-Skript in C:\BanderaNegra.vbs ab. Dieses Skript versucht, den Wurm per E-Mail an alle Eintr�ge im Outlook-Adressbuch zu senden. Das Skript wird als VBS/Kitro-D erkannt. | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
