Hi,
so eben ereichte mich eine News dazu, die ich auszugsweise hier
widergebe:
Symptome:
- Programm-Hinweisbox siehe Grafiken:
- http://www.pro-support.de/bin/avtools/benjamin2.gif
- Folgender Registry-Schluessel
System Service with value C:\Windows\System\explorer.scr
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(HKLM = HKEY_LOCAL_MACHINE)
- eine Menge von EXE und SCR Dateien mit Dateinamen, die Titel
von Filmen, Songs und auch bekannter Software beinhalten.
Wo?: im Temp-Verzeichnis: z.B. Windows\Temp\Sys32 directory
Technische Beschreibung:
Fuehrt ein Benutzer den Wurm aus, erscheint eine Hinweis-
Box des Programmes mit dem folgenden Text:
"Access error #03A:94574: Invalid pointer operation
File possibly corrupted"
- http://www.pro-support.de/bin/avtools/benjamin2.gif
Danach schreibt der Wurm zwei Registry-Keys:
"System Service" mit Inhalt: "C:\Windows\System\explorer.scr" in
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
und
"syscod" mit dem Wert "0065D7DB20008306B6A1" in
"HKLM\Software\Microsoft"
Dann kopiert er sich selbst nach
Windows\System\explorer.scr
und den oben angesprochenen Dateien mit Namen bekannter Filme etc.
nach C:\Windows\Temp\Sys32.
Ist Kazaa installiert, wird der "Share Folder" nach
C:\Windows\Temp\Sys32 geaendert.
Falls nun ein Nutzer nach einem dieser Titel sucht, findet er
nun hier die verseuchten Dateien des Wurmes. Siehe auch
- http://www.pro-support.de/bin/avtools/benjamin1.gif
Payload:
Der Wurm oeffnet den Internet-Explorer mit dem URL: benjamin.xww.de
Der Inhalt der Domain ist IMHO sehr uninteressant. Wohl daher, da
die Domain geschlossen wurde:
... Domain aufgrund von massiven Beschwerden gesperrt.
... Domain closed due to massive abuse.
>>> Entfernung von Benjamin
- manuell:
Alle Dateien loeschen im (Temp-)Verzeichnis (oft:)
C:\Windows\Temp\Sys32
Datei explorer.scr in C:\Windows\System loeschen
Per Regedit den Schluessel
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
entfernen.
- automatisch:
Kostenloses Tool gegen Benjaminchen von Bitdefender- siehe zum
Beispiel
http://www.pro-support.de/antivirus.shtml
Derzeit ist das Tool direkt bei bitdefender noch nicht zu haben!
....
so eben ereichte mich eine News dazu, die ich auszugsweise hier
widergebe:
Symptome:
- Programm-Hinweisbox siehe Grafiken:
- http://www.pro-support.de/bin/avtools/benjamin2.gif
- Folgender Registry-Schluessel
System Service with value C:\Windows\System\explorer.scr
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(HKLM = HKEY_LOCAL_MACHINE)
- eine Menge von EXE und SCR Dateien mit Dateinamen, die Titel
von Filmen, Songs und auch bekannter Software beinhalten.
Wo?: im Temp-Verzeichnis: z.B. Windows\Temp\Sys32 directory
Technische Beschreibung:
Fuehrt ein Benutzer den Wurm aus, erscheint eine Hinweis-
Box des Programmes mit dem folgenden Text:
"Access error #03A:94574: Invalid pointer operation
File possibly corrupted"
- http://www.pro-support.de/bin/avtools/benjamin2.gif
Danach schreibt der Wurm zwei Registry-Keys:
"System Service" mit Inhalt: "C:\Windows\System\explorer.scr" in
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
und
"syscod" mit dem Wert "0065D7DB20008306B6A1" in
"HKLM\Software\Microsoft"
Dann kopiert er sich selbst nach
Windows\System\explorer.scr
und den oben angesprochenen Dateien mit Namen bekannter Filme etc.
nach C:\Windows\Temp\Sys32.
Ist Kazaa installiert, wird der "Share Folder" nach
C:\Windows\Temp\Sys32 geaendert.
Falls nun ein Nutzer nach einem dieser Titel sucht, findet er
nun hier die verseuchten Dateien des Wurmes. Siehe auch
- http://www.pro-support.de/bin/avtools/benjamin1.gif
Payload:
Der Wurm oeffnet den Internet-Explorer mit dem URL: benjamin.xww.de
Der Inhalt der Domain ist IMHO sehr uninteressant. Wohl daher, da
die Domain geschlossen wurde:
... Domain aufgrund von massiven Beschwerden gesperrt.
... Domain closed due to massive abuse.
>>> Entfernung von Benjamin
- manuell:
Alle Dateien loeschen im (Temp-)Verzeichnis (oft:)
C:\Windows\Temp\Sys32
Datei explorer.scr in C:\Windows\System loeschen
Per Regedit den Schluessel
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
entfernen.
- automatisch:
Kostenloses Tool gegen Benjaminchen von Bitdefender- siehe zum
Beispiel
http://www.pro-support.de/antivirus.shtml
Derzeit ist das Tool direkt bei bitdefender noch nicht zu haben!
....