leutz,
da sind offenbar die würmer-programmierer nach dem feiertagen wieder aktiv.
sophos und andere av-hersteller warnen vor dem Win32-Wurm Lirva_A
alias W32/Naith.A-mm.
zitat:
Sophos hat verschiedene Meldungen dieses Wurm als "in the wild" erhalten.
Kommentar:
W32/Avril-A ist ein Internet-Wurm, der sich verbreitet, indem er sich an
E-Mail-Adressen aus DBX-, MBX-, WAB-, HTML-, EML-, HTM-, TBB-,
SHTML-, NCH- und IDX-Dateien sendet.
Die gesendeten E-Mails können Exploits enthalten, so dass das Attachment
automatisch gestartet wird, wenn die E-Mail mit einigen Versionen von
Microsoft Outlook angesehen wird. Der Wurm verbreitet sich auch via IRC.
Der Wurm schließt Antiviren-Produkte und legt verschiedene Kopien von sich
auf der Festplatte mit zufälligen Namen ab.
W32/Avril-A kopiert sich in den Windows-Systemordner mit einem zufälligen Namen
und setzt folgenden Registrierungseintrag, so dass er automatisch beim Start von
Windows gestartet wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
\Avril Lavigne - Muse = <System-Ordner>\randomname.exe
W32/Avril-A kann auch den Microsoft Internet Explorer auf https://www.study-board.de/www.avril-lavigne.com
öffnen und farbige Ellipsen in der Bildschirmmitte anzeigen.
zitat ende
quelle und weiterlesen:
http://www.sophos.de/virusinfo/analyses/w32avrila.html
Edit Jens:
Kleine Erweiterung aus dem HotSpot
Der Betreff der Mail kann unter anderen diese enthalten.
# an Microsoft Internet Explorer Service Pack (Q401243)
# an Kaspersky Anti-Virus 4.0 bugfix
a Microsoft Explorer Patch
Der Anhang besteht immer aus der >install.exe< und folgende Datein werden so weit vorhanden gelöscht.
C:\Program Files\Norton AntiVirus\*.dat
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
C:\Program Files\Common Files\KAV Shared Files\*.*