689815

Wurm blockiert Regedit

Der Zafi.D-Wurm führt die Malware-Charts an. Sie wollen herausfinden, ob sich der Schädling auf Ihrem System befindet, und ihn gegebenenfalls beseitigen. Wir zeigen Ihnen, wie Sie dieses Problem lösen können.

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Problem:

Der Zafi.D-Wurm führt derzeit die Malware-Charts an. Sie wollen herausfinden, ob sich der Schädling auf Ihrem System befindet, und ihn gegebenenfalls beseitigen.

Lösung:

Zafi.D ist ein Mailwurm, der sich über eine eigene SMTP-Engine an alle Mailadressen verschickt, die er in HTM-, TXT- oder EML-Dateien auf dem System findet. Die Mail mit dem infizierten Anhang kommt auf deutschen Servern mit dem Betreff "Weihnachten Card" an. Wird der ausführbare Anhang gestartet, legt der Wurm die "Norton Update.EXE" unter \Windows\System32 an, ferner einige DLL-Dateien, deren achtstelliger Name von System zu System variiert.

Unter Windows 98/ME landen die Dateien direkt im Windows-Ordner. In den DLL-Dateien sammelt der Wurm die auf dem System gefundenen Mailadressen. Er macht sich dadurch bemerkbar, dass er die Ausführung des Task-Managers (<Strg>-<Alt>-<Entf>), von Regedit und Msconfig verhindert.

Mit dem Eintrag "Wxp4" im Run-Schlüssel

"Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run"

der Registry sorgt der Schädling dafür, dass er automatisch startet.

Seine DLLs findet der Wurm über den Registry-Schlüssel

"Hkey_Local_Machine\Software\Microsoft\_Wxp4".

Mit Hilfe dieser Infos können Sie den Schädling manuell entfernen. Noch einfacher geht es mit Antizafi-EN.EXE von Bitdefender . Sie müssen das Tool nur starten, den Rest erledigt es von selbst.

0 Kommentare zu diesem Artikel
689815