Need help? Ask the community or hire an expert.
Go to Avira Answers
Alias:W32/MyWife.a@MM [McAfee], I-Worm.Nyxem [Kaspersky], W32/Nyxem-A [Sophos], WORM_BLUEWORM.A [Trend], W32.Blackaml@mm
Type:Worm 
Size:about 75KB 
Origin: 
Date:00-00-0000 
Damage:Spreads over email and shared networks. 
VDF Version:  
Danger:Low 
Distribution:Low 

General DescriptionWird Worm/Blackmal ausgeführt, erstellt er ein %Windir%\TEMPORARY Verzeichnis und setzt die Eigenschaften versteckt. Er kopiert sich als die folgende Dateien: %SystemDIR%\.exe %WinDIR%\TEMPORARY \.exe Dann kopiert er sich mehrfach in das %SystemDIR% Verzeichnis als .scr Datei oder achiviert sich als .zip oder .tgz Datei. Für die Dateien benutzt er folgendene Dateinamen: Fix_BlackWorm.com Julia_1997_Fucking.MPEG_.scr juanita_in_the_kitchen.MPEG.scr 17Ag_double_suck__part[2].MPEG_.scr April_FromTexas.MPEG_.scr Video_briefcase_Group[13].MPEG_.scr After_2AM_small_room[4].MPEG__.scr Graham_Hilton_Sex[4].MPEG__.scr WebCam_12girls_Ass.mpeg_.scr Shakira_Anal_very_old.MPEG.scr why_fuck_anal_back.MPEG.scr open_girl_21year.MPEG.scr Ricky_Gay_ass.MPEG______________.scr GrahamCluley_freakin_Ass_.MPEG__.scr Sexual_Crimes.MPEG____.scr oder: hard_babe AprilGoostree Video JuliaRoberts BigFuck hotsucking ParisHilton Shakira Vclip2 easyFuck_GIRL RickyMartin AssClip SexCrimes Scan gefolgt von einer der folgenden Dateierweiterungen: .zip .exe .tgz Er erstellt eine Datei namens Media.Temp.Mpeg in das %Temp% Verzeichnis und versucht den Windows Media Player zu öffenen und abzuspielen. Dann erstellt und registiert er folgende .dll Dateien, so dass der Wurm sich selbst durch Emails verbreiten kann. OSSMTP.dll Oswinsck.dll Er fügt folgende Werte den Registry- Einträgen hinzu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "%zufälliger Dateiname 1%.exe"="%SystemDIR%\zufälliger Dateiname 1%.exe" "(default)"="%WinDIR%\TEMPORARY\%zufälliger Dateiname 2%.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"% zufälliger Dateiname 1%.exe"="%SystemDIR%\%zufälliger Dateiname 1%.exe" "(default)"="%WinDIR%\TEMPORARY \%zufälliger Dateiname 2%.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "%zufälliger Dateiname 1%.exe"="%SystemDIR%\%zufälliger Dateiname 1%.exe" "(default)"="%WinDIR%\TEMPORARY \%zufälliger Dateiname 2%.exe" Er erstellt folgende Registry- Einträge: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OSSMTP.Attachment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OSSMTP.CustomHeader HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OSSMTP.SMTPSession HKEY_LOCAL_MACHINE\SOFTWARE\Classes\oswinsck.TCP Er löscht die folgenden Werte: NPROTECT ccApp ScriptBlocking MCUpdateExe VirusScan Online MCAgentExe VSOCheckTask PCClient.exe PCCIOMON.exe pccguide.exe PccPfw tmproxy McAfeeVirusScanService NAV Agent PCCClient.exe SSDPSRV Taskmon KasperskyAv system. msgsvr32 Windows Services Host Explorer Sentry ssate.exe winupd.exe au.exe aus folgenden Registry- Einträgen: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices Anschließend versucht er alle Dateien oder Ausführungen der folgenden Verzeichnisse zu löschen: %Program Files%\Norton AntiVirus\ %Program Files%\McAfee\McAfee VirusScan\Vso\ %Program Files%\Trend Micro\PC-cillin 2002\ %Program Files%\Trend Micro\PC-cillin 2003\ %Program Files%\Trend Micro\Internet Security\ %Program Files%\Symantec\LiveUpdate\ Er führt einen DDOS Angriff gegen www.nymex.com durch.

DistributionDer Wurm benutzt seine eigene SMTP Engine um sich per Email zu verschicken. Er bezieht Emailadressen von folgenden Listen: MSN Messenger Yahoo Pager und aus Dateien die folgende Dateierweiterungen haben: .htm .dbx Eine vom Wurm versendete Email hat folgendes Aussehen: Subjekt: Alert Fw: Virus Alert FW: (-Sucking-) FW: File - WebCam.mpeg FW: **Hot Movie** Re: Why? Form Back.mpg FW:RE: Least *21* Years Re: Double suck (movie) FW:Re:Hot Erotic very hot XXX Video Clip RE: FW: Women Mpeg Asses Mpeg's FW: Lesbian & gays Mpeg Fw: My Funny Ass TeenRapers.mov Body: Dear User, This is A very High Resk Virus Alert This email is sent to you because one or some of your friends has been infected with The W32.BlackWorm.A@mm Virus. And you could be infected too.This Virus has the ability to damage the hard disk. This Virus infects computers using many new ways : 1- it arrives as an email attachment inside of jpg pictures. 2- it infects the ip address without the victim's knowledge. 3- it infects Microsoft Word Documents using a new exploit in hex (00fxf0xf10x). Sincerely Norton AntiVirus (bei diesem Body werden nur nur die Subjekts: Alert, Fw: Virus Alert und die Attachments: Fix_BlackWorm.com, Scan.zip, oder Scan.tgz verwendet) Cum and check this fun group out...Sexy ladies!! Come post your ad,..this is a real swingers group!! I'm attatching a Video Clip of my wife if interested in checking it out! Watch the Paris Hilton Sex Tape for Free! Video's Girls Erotic WebCam's Tits Mpeg's Girls Ass SEX Pussy Video Clips Here is another Vclip of my daily group :| All kinda Women Can be Found Here To Satisfy Women Lovers' Eyes Dozens of Free Video Clips to download.Many Niches. Updated regularly and more added daily.Taken From Vivi's Lovely Briefcase. hey guys my name is April Goostree i am a sexy 22 yr old bbw , 5'9, 48 dd , big ole booty, jus lovin life, until i get my pics posted in here you can either check out my profile or join my own yahoo group Texas-Sexy@groups.msn.com, either way works for me..i hope to become very active in this group, i like to get to know people, like to get on cam once in a while, jus to chill, when they aint none home..thats why its once in a while yaknow..anyways jus holla at me... n thanks for lettin me join!!! kisses kandee..Bye very good movie >>> Video's Media Player. SEX SEX * Sluts Tits Video Mpeg's Mpeg Video Clips -==This server does not support Transfer Big Movies==- wo Hotttt gurls sucking a hansum cock Softly u Love asses? Here is a great ass open wide waitin for ur lil Cock movie attached open by media Player 7.1 when i saw my ass i slept 3 hours why?? check my ass sorry my movie LOOOOOOOOL joke (^!^) Check This ?ucking Babe ;D ?ucking = Sucking=Fucking Attachment: Der Wurm sucht sich eine der Dateien aus dem %Systemdir% Verzeichnis als Attachment aus. Er zählt die gesharten Netzwerk ab und versucht sich zu kopieren.

Technical DetailsWird Worm/Blackmal ausgeführt, erstellt er ein %Windir%\TEMPORARY Verzeichnis und setzt die Eigenschaften versteckt. Er kopiert sich als die folgende Dateien: %SystemDIR%\.exe %WinDIR%\TEMPORARY \.exe Dann kopiert er sich mehrfach in das %SystemDIR% Verzeichnis als .scr Datei oder achiviert sich als .zip oder .tgz Datei. Für die Dateien benutzt er folgendene Dateinamen: Fix_BlackWorm.com Julia_1997_Fucking.MPEG_.scr juanita_in_the_kitchen.MPEG.scr 17Ag_double_suck__part[2].MPEG_.scr April_FromTexas.MPEG_.scr Video_briefcase_Group[13].MPEG_.scr After_2AM_small_room[4].MPEG__.scr Graham_Hilton_Sex[4].MPEG__.scr WebCam_12girls_Ass.mpeg_.scr Shakira_Anal_very_old.MPEG.scr why_fuck_anal_back.MPEG.scr open_girl_21year.MPEG.scr Ricky_Gay_ass.MPEG______________.scr GrahamCluley_freakin_Ass_.MPEG__.scr Sexual_Crimes.MPEG____.scr oder: hard_babe AprilGoostree Video JuliaRoberts BigFuck hotsucking ParisHilton Shakira Vclip2 easyFuck_GIRL RickyMartin AssClip SexCrimes Scan gefolgt von einer der folgenden Dateierweiterungen: .zip .exe .tgz Er erstellt eine Datei namens Media.Temp.Mpeg in das %Temp% Verzeichnis und versucht den Windows Media Player zu öffenen und abzuspielen. Dann erstellt und registiert er folgende .dll Dateien, so dass der Wurm sich selbst durch Emails verbreiten kann. OSSMTP.dll Oswinsck.dll Er fügt folgende Werte den Registry- Einträgen hinzu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "%zufälliger Dateiname 1%.exe"="%SystemDIR%\zufälliger Dateiname 1%.exe" "(default)"="%WinDIR%\TEMPORARY\%zufälliger Dateiname 2%.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"% zufälliger Dateiname 1%.exe"="%SystemDIR%\%zufälliger Dateiname 1%.exe" "(default)"="%WinDIR%\TEMPORARY \%zufälliger Dateiname 2%.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "%zufälliger Dateiname 1%.exe"="%SystemDIR%\%zufälliger Dateiname 1%.exe" "(default)"="%WinDIR%\TEMPORARY \%zufälliger Dateiname 2%.exe" Er erstellt folgende Registry- Einträge: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OSSMTP.Attachment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OSSMTP.CustomHeader HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OSSMTP.SMTPSession HKEY_LOCAL_MACHINE\SOFTWARE\Classes\oswinsck.TCP Er löscht die folgenden Werte: NPROTECT ccApp ScriptBlocking MCUpdateExe VirusScan Online MCAgentExe VSOCheckTask PCClient.exe PCCIOMON.exe pccguide.exe PccPfw tmproxy McAfeeVirusScanService NAV Agent PCCClient.exe SSDPSRV Taskmon KasperskyAv system. msgsvr32 Windows Services Host Explorer Sentry ssate.exe winupd.exe au.exe aus folgenden Registry- Einträgen: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices Anschließend versucht er alle Dateien oder Ausführungen der folgenden Verzeichnisse zu löschen: %Program Files%\Norton AntiVirus\ %Program Files%\McAfee\McAfee VirusScan\Vso\ %Program Files%\Trend Micro\PC-cillin 2002\ %Program Files%\Trend Micro\PC-cillin 2003\ %Program Files%\Trend Micro\Internet Security\ %Program Files%\Symantec\LiveUpdate\ Er führt einen DDOS Angriff gegen www.nymex.com durch.

Manual Remove InstructionsMit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
Açıklamayı yerleştiren Crony Walker tarihinde 15 Haziran 2004 Salı

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.