Troj/Graybird-A
Alias
Backdoor.GrayBird.g, BKDR_GRAYBIRD.B
Typ
Trojaner
Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung, und wird ab Version Oktober 2003 (3.74) in Sophos Anti-Virus enthalten sein.
Zum jetzigen Zeitpunkt hat Sophos keine Meldungen von Anwendern erhalten, die von diesem Trojaner betroffen sind. Dieser Hinweis wird aufgrund von Kundenanfragen an unsere Supportabteilung herausgegeben.
Kommentar
Troj/Graybird-A ist ein Backdoor-Trojaner. Wenn er auf dem Computer des Opfers aktiv ist, kann auf diesen Computer unbefugt zugegriffen werden.
Troj/Graybird-A kopiert sich mit dem Dateinamen spoolsv.exe in den Systemordner und erstellt die folgenden Registrierungseinträge, so dass der Trojaner beim Start von Windows aktiviert wird:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunSPOOLSV
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesSPOOLSV
HKCUSoftwareMicrosoftWindowsCurrentVersionRunSPOOLSV
Außerdem wird ein "Run"-Eintrag zu der Datei win.ini hinzugefügt, wodurch der Trojaner ebenfalls beim Start von Windows aktiviert wird.
Der Trojaner kann in einer E-Mail mit folgenden Merkmalen versendet werden:
Betreffzeile: updated
Text: Dear customer:
At 11:34 A.M. Pacific Time on August 13, Microsoft began investigating a worm reported by Microsoft Product Support Services (PSS). A new worm commonly known as W32.Blaster.Worm has been identified that exploits the vulnerability that was addressed by Microsoft Security Bulletin MS03-026.
Download the attached update program. To begin the download process, do one of the following:
To download the attached program to your computer for installation at a later time, click Save or Save this program to disk.then run it. If you have any problem, connect to us immediately.
Attachment: 03-26updated.exe
Wiederherstellung
Bitte folgen Sie den Hinweise zum Entfernen von Trojanern.
Hinweis: Normalerweis ist auch eine Datei namens spoolsv.exe auf Windows 2000 und Windows XP vorhanden. Entfernen Sie nur die Trojanerdateien namens spoolsv.exe.