Hi,
einer unser User hat gestern den Anhang einer E-Mail geöffnet, die in diesem Artikel beschrieben sind:
http://tech.de.msn.com/sicherheit/news_artikel.aspx?cp-documentid=11250345:
>> Zurzeit werden Spam-artige Mails verbreitet, die vorgeblich von einer
Inkassofirma kommen und deren Anhang ein Trojanisches Pferd enthält.
Antivirus-Software ist derzeit noch nicht im Bilde.<<
F-Secure identifiziert ihn mittlerweile als Worm:W32/AutoRun.KD. Nach dem, was ich davon mitbekommen habe, hat der Wurm den Ordner
C:\Progamme\Microsoft Common
und darin eine Datei mit dem Namen
svchost.exe
erstellt. F-Secure hat die Dateien umbenannt. Wobei ich mir nicht sicher bin, wann genau das passiert ist - denn heute morgen beim Hochfahren des Rechners startete auf einmal der Explorer nicht mehr - explorer.exe weg! Da liegt die Vermutung nahe, dass das die Arbeit des Wurms ist und dass F-Secure zu spät gekommen ist.
Weiß jemand, wo man nähere Informationen über den Wurm bekommt? Ich könnte zwar das Notebook ans Netz nehmen und die explorer.exe einfach wieder kopieren. Allerdings weiß ich nicht, was der Wurm noch so auf dem Notebook verschandelt hat. Mit einer LiveCD wird es leider schwieriger, da die Festplatte des Notebooks komplett mit Safeguard Easy verschlüsselt ist.
Gruß
luke
25.11.2008, 10:45
Baum-Darstellung