leutz,
mal wieder ein wurm, der in der freien wildbahn gesichtet wurde.
sophos hat deshalb gerade eine warnung in meinen briefkasten geworfen. 
"W32/KWBot-A ist ein Wurm, der das Kazaa Peer-to-Peer-Netzwerk ausnutzt."
die aliases sind: W32.Kwbot.Worm, Worm.Win32.SdBot, W32/Moocow-A
zitat
Wenn er das erste Mal ausgeführt wird, kopiert sich der Wurm als explorer32.exe
in den Windows-Systemordner. Er erstellt daraufhin die folgenden Registrierungs-
einträge, so dass die Kopie bei jedem Start von Windows aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Explorer Update Build 1142 = explorer32
und
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Explorer Update Build 1142 = explorer32
W32/KWBot-A versucht, ahnungslose Anwender dazu zu bewegen, Kopien des
Wurms herunterzuladen, indem er Dateinamen verwendet, die für andere Anwender
interessant klingen, wie z. B. Filmtitel oder beliebte Software.
Beispiele für verwendete Dateinamen sind:
Star Wars Episode 2 - Attack of the Clones VCD CD1.exe
Spiderman The Movie - The Game.exe
Grand Theft Auto 3 CD1 ISO.exe
ZoneAlarm Firewall Pro.exe
Windows XP Professional iso.exe
Unreal Tournament cracked (works on all servers).exe
University Study Guide (cheat sheet).exe
Quicken Pro 2002 iso.exe
Perl Ultimate Study Guide.exe
Office XP Corporate Ed. iso.exe
Norton Utilities 2002.exe
Microsoft Visual C++ 7.0 iso.exe
MCSE Ultimate Study Guide.exe
Max Payne full iso.exe
Macromedia Flash 5.exe
Kazaa Advertisement Ad remover.exe
DSL Anonymizer.exe
DoS Attacker.exe
DivX Codec 6.0 beta (codec only).exe
Credit Card number generator VERIFIER (cc cc#).exe
cows gone wild.exe
100 XXX Passwords (verified 3-24-02).exe
Der Wurm kann Angreifern mit Befehlen, die über IRC übertragen werden,
ebenfalls die Steuerung über einen infizierten Computer geben.
zitat ende
fundstelle:
http://www.sophos.de/virusinfo/analyses/w32kwbota.html
grüsse vom webplumber
*lob*