Hier mal ne kleine Info:
Varianten werden mit den Kennbuchstaben der jeweiligen Variante bezeichnet. Beispiel W32.Spybot.dr.
Spybot ist ein Wurm, der sich über das File-Sharing-System KaZaa und über IRC ( Internet Relay Chat) verbreitet. Einige Varianten haben zusätzliche Verbreitungsmechanismen über Sicherheitslücken im Windows-Betriebssystem.
Die meisten Varianten enthalten eine Backdoor-Funktion, über die ein Angreifer volle Kontrolle über den infizierten Computer erhält.
Bei der Infektion des Computers kopiert sich der Wurm in das Windows-%System%-Verzeichnis. Der Dateiname ist bei den verschiedenen Varianten unterschiedlich.
Beispiel: c:\windows\system32\wininimil.exe
Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.
Spybot wird beim Systemstart durch einen oder mehrere Einträge in der Windows-Registry aktiviert.
Beispiel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Update Machine = wininimil.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Update Machine = wininimil.exe
Weitere Funktionen, die in verschiedenen Varianten von Spybot implementiert sind:
* Denial of Service (DoS) Angriff auf bestimmte Ziele
* Deaktivieren von Anti-Virus-Software
* Aufzeichnen von Tastatureingaben
* Weitergabe von System- und Benutzer-Informationen
Entfernung von Spybot:
Wie bei vielen anderen Viren, Würmer oder Trojanischen Pferden, kann Spybot nicht im laufenden System entfernt werden:
* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet
* die Systemwiederherstellung von Windows Me/XP stellt die Datei nach dem Löschen wieder her
Zur Entfernung sollte wie folgt vorgegangen werden:
1. Systemwiederherstellung von Windows Me/XP deaktivieren
2. Start des Computers in den abgesicherten Modus
3. alle Dateien mit aktuellen Viren-Definitionen prüfen lassen
4. wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
5. normaler Systemstart
6. Systemwiederherstellung (Me/XP) aktivieren
Achtung:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.