Excel-Dateien sind allergisch gegen den Dutan-Wurm
Der Dutan.A-Wurm versucht in erster Linie Dateien zu zerstören, die mit der Excel-Tabelle erstellt wurden.
Der Dutan.A-Wurm wird am häufigsten über Netzlaufwerke oder Wechseldatenträger auf ausgewählte Computer übertragen. Es erstellt dann einige Dateien und ändert die Registrierungsdatenbank. Der Wurm kopiert zwei Dateien auf jedes verfügbare Netzwerk- und Wechsellaufwerk. Diese werden von einem mit der Schadsoftware kommuniziert, während der andere dafür sorgt, dass der Wurm beim Wiederanschließen der Speichergeräte automatisch geladen werden kann.
Dutan.A scannt alle verfügbaren .xls-Dateien auf infizierten PCs und hängt ihnen eine zufällig generierte Zeichenfolge von 2 KB an. Dadurch können Excel-Dateien unbrauchbar werden.
Wenn der Dutan.A-Wurm startet, führt er die folgenden Aktionen aus:
- Erstellen Sie die folgenden Dateien:
% System% \ winxpsp2.dll
% System% \ csrsss.exe
% System% \ svchosts.exe - Kopieren Sie die folgenden beiden Dateien in das Stammverzeichnis jedes Netzwerk- und Wechsellaufwerks:
svchosts.exe
autorun.inf - Folgende Einträge werden in die Registrierungsdatenbank aufgenommen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Microsoft OfficeTool" = "svchosts.exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Explorer
\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
= „Fahren“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Explorer
\MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
= „Fahren“
4. Suchen Sie nach Dateien mit der Erweiterung .xls, zu denen Sie eine zufällig zusammengestellte Zeichenfolge von 2 KB hinzufügen.
