Tillbaka till svenska Fidonet
English   Information   Debug  
TREK   0/755
TUB   0/290
UFO   0/40
UNIX   0/1316
USA_EURLINK   0/102
USR_MODEMS   0/1
VATICAN   0/2740
VIETNAM_VETS   0/14
VIRUS   0/378
VIRUS_INFO   0/201
VISUAL_BASIC   0/473
WHITEHOUSE   0/5187
WIN2000   0/101
WIN32   0/30
WIN95   0/4282
WIN95_OLD1   0/70272
WINDOWS   0/1517
WWB_SYSOP   0/419
WWB_TECH   0/810
ZCC-PUBLIC   0/1
ZEC   4

 
4DOS   0/134
ABORTION   0/7
ALASKA_CHAT   0/506
ALLFIX_FILE   0/1313
ALLFIX_FILE_OLD1   0/7997
ALT_DOS   0/152
AMATEUR_RADIO   0/1039
AMIGASALE   0/14
AMIGA   0/331
AMIGA_INT   0/1
AMIGA_PROG   0/20
AMIGA_SYSOP   0/26
ANIME   0/15
ARGUS   0/924
ASCII_ART   0/340
ASIAN_LINK   0/651
ASTRONOMY   0/417
AUDIO   0/92
AUTOMOBILE_RACING   0/105
BABYLON5   0/17862
BAG   135
BATPOWER   0/361
BBBS.ENGLISH   0/382
BBSLAW   0/109
BBS_ADS   0/5290
BBS_INTERNET   0/507
BIBLE   0/3563
BINKD   0/1119
BINKLEY   0/215
BLUEWAVE   0/2173
CABLE_MODEMS   0/25
CBM   0/46
CDRECORD   0/66
CDROM   0/20
CLASSIC_COMPUTER   0/378
COMICS   0/15
CONSPRCY   0/899
COOKING   32026
COOKING_OLD1   0/24719
COOKING_OLD2   0/40862
COOKING_OLD3   0/37489
COOKING_OLD4   0/35496
COOKING_OLD5   9370
C_ECHO   0/189
C_PLUSPLUS   0/31
DIRTY_DOZEN   0/201
DOORGAMES   0/2048
DOS_INTERNET   0/196
duplikat   6002
ECHOLIST   0/18295
EC_SUPPORT   0/318
ELECTRONICS   0/359
ELEKTRONIK.GER   1534
ENET.LINGUISTIC   0/13
ENET.POLITICS   0/4
ENET.SOFT   0/11701
ENET.SYSOP   33877
ENET.TALKS   0/32
ENGLISH_TUTOR   0/2000
EVOLUTION   0/1335
FDECHO   0/217
FDN_ANNOUNCE   0/7068
FIDONEWS   23979
FIDONEWS_OLD1   0/49742
FIDONEWS_OLD2   0/35949
FIDONEWS_OLD3   0/30874
FIDONEWS_OLD4   0/37224
FIDO_SYSOP   12852
FIDO_UTIL   0/180
FILEFIND   0/209
FILEGATE   0/212
FILM   0/18
FNEWS_PUBLISH   4357
FN_SYSOP   41651
FN_SYSOP_OLD1   71952
FTP_FIDO   0/2
FTSC_PUBLIC   0/13596
FUNNY   0/4886
GENEALOGY.EUR   0/71
GET_INFO   105
GOLDED   0/408
HAM   0/16066
HOLYSMOKE   0/6791
HOT_SITES   0/1
HTMLEDIT   0/71
HUB203   466
HUB_100   264
HUB_400   39
HUMOR   0/29
IC   0/2851
INTERNET   0/424
INTERUSER   0/3
IP_CONNECT   719
JAMNNTPD   0/233
JAMTLAND   0/47
KATTY_KORNER   0/41
LAN   0/16
LINUX-USER   0/19
LINUXHELP   0/1155
LINUX   0/22070
LINUX_BBS   0/957
mail   18.68
mail_fore_ok   249
MENSA   0/341
MODERATOR   0/102
MONTE   0/992
MOSCOW_OKLAHOMA   0/1245
MUFFIN   0/783
MUSIC   0/321
N203_STAT   920
N203_SYSCHAT   313
NET203   321
NET204   69
NET_DEV   0/10
NORD.ADMIN   0/101
NORD.CHAT   0/2572
NORD.FIDONET   189
NORD.HARDWARE   0/28
NORD.KULTUR   0/114
NORD.PROG   0/32
NORD.SOFTWARE   0/88
NORD.TEKNIK   0/58
NORD   0/453
OCCULT_CHAT   0/93
OS2BBS   0/787
OS2DOSBBS   0/580
OS2HW   0/42
OS2INET   0/37
OS2LAN   0/134
OS2PROG   0/36
OS2REXX   0/113
OS2USER-L   207
OS2   0/4786
OSDEBATE   0/18996
PASCAL   0/490
PERL   0/457
PHP   0/45
POINTS   0/405
POLITICS   0/29554
POL_INC   0/14731
PSION   103
R20_ADMIN   1121
R20_AMATORRADIO   0/2
R20_BEST_OF_FIDONET   13
R20_CHAT   0/893
R20_DEPP   0/3
R20_DEV   399
R20_ECHO2   1379
R20_ECHOPRES   0/35
R20_ESTAT   0/719
R20_FIDONETPROG...
...RAM.MYPOINT
  0/2
R20_FIDONETPROGRAM   0/22
R20_FIDONET   0/248
R20_FILEFIND   0/24
R20_FILEFOUND   0/22
R20_HIFI   0/3
R20_INFO2   3169
R20_INTERNET   0/12940
R20_INTRESSE   0/60
R20_INTR_KOM   0/99
R20_KANDIDAT.CHAT   42
R20_KANDIDAT   28
R20_KOM_DEV   112
R20_KONTROLL   0/13225
R20_KORSET   0/18
R20_LOKALTRAFIK   0/24
R20_MODERATOR   0/1852
R20_NC   76
R20_NET200   245
R20_NETWORK.OTH...
...ERNETS
  0/13
R20_OPERATIVSYS...
...TEM.LINUX
  0/44
R20_PROGRAMVAROR   0/1
R20_REC2NEC   534
R20_SFOSM   0/340
R20_SF   0/108
R20_SPRAK.ENGLISH   0/1
R20_SQUISH   107
R20_TEST   2
R20_WORST_OF_FIDONET   12
RAR   0/9
RA_MULTI   106
RA_UTIL   0/162
REGCON.EUR   0/2056
REGCON   0/13
SCIENCE   0/1206
SF   0/239
SHAREWARE_SUPPORT   0/5146
SHAREWRE   0/14
SIMPSONS   0/169
STATS_OLD1   0/2539.065
STATS_OLD2   0/2530
STATS_OLD3   0/2395.095
STATS_OLD4   0/1692.25
SURVIVOR   0/495
SYSOPS_CORNER   0/3
SYSOP   0/84
TAGLINES   0/112
TEAMOS2   0/4530
TECH   0/2617
TEST.444   0/105
TRAPDOOR   0/19
Möte VIRUS_INFO, 201 texter
 lista första sista föregående nästa
Text 120, 2175 rader
Skriven 2006-06-04 10:26:00 av KURT WISMER (1:123/140)
Ärende: News, June 4 2006
=========================
[cut-n-paste from sophos.com]

Name   Troj/Torpig-AX

Type  
    * Spyware Trojan

Affected operating systems  
    * Windows

Side effects  
    * Drops more malware
    * Records keystrokes
    * Installs itself in the Registry
    * Monitors system activity

Aliases  
    * Trojan-PSW.Win32.Sinowal.r
    * Trojan.Spy.Sinowal-25
    * Win32/TrojanDropper.Small.NEA

Prevalence (1-5) 3

Description
Troj/Torpig-AX is a multi-component keyloggin Trojan for the Windows 
platform.

Advanced
Troj/Torpig-AX is a multi-component keyloggin Trojan for the Windows 
platform.

At the time of writing several samples of Troj/Torpig-AX had been 
seeded out as an attachment called ms56.zip.

Troj/Torpig-AX attempts to create the following files:

<Common Files>\Microsoft Shared\Web Folders\ibm00001.dll
<Common Files>\Microsoft Shared\Web Folders\ibm00001.exe
<Common Files>\Microsoft Shared\Web Folders\ibm00002.dll

Troj/Torpig-AX may also create and run components which load the 
dropped files.

Troj/Torpig-AX may create entries in the registry to run components 
of itself on restart.





Name   Troj/Zapchas-BJ

Type  
    * Trojan

Affected operating systems  
    * Windows

Side effects  
    * Allows others to access the computer
    * Drops more malware

Aliases  
    * IRC_ZAPCHAST.J
    * TROJ_DROPPER.BAZ

Prevalence (1-5) 2

Description
Troj/Zapchas-BJ is a multi-component backdoor Trojan that drops the 
virus W32/Parite-B.

Troj/Zapchas-BJ runs continuously in the background, providing a 
backdoor server which allows a remote intruder to gain access and 
control over the computer via IRC channels.

Troj/Zapchas-BJ includes functionality to access the internet and 
communicate with a remote server via HTTP.

Advanced
Troj/Zapchas-BJ is a multi-component backdoor Trojan that drops the 
virus W32/Parite-B.

Troj/Zapchas-BJ runs continuously in the background, providing a 
backdoor server which allows a remote intruder to gain access and 
control over the computer via IRC channels.

Troj/Zapchas-BJ includes functionality to access the internet and 
communicate with a remote server via HTTP.

When Troj/Zapchas-BJ is installed the following files are created:

<System>\aliases.ini
<System>\control.ini
<System>\fullname.txt
<System>\ident.txt
<System>\mirc.ico
<System>\mirc.ini
<System>\nicks.txt
<System>\popups.txt
<System>\remote.ini
<System>\script.ini
<System>\servers.ini
<System>\sup.bat
<System>\sup.reg
<System>\svchost.exe
<System>\users.ini
<System>\yaddress.ico

The file svchost.exe is a legitimate mIRC application, infected with 
the virus W32/Parite-B. The file script.ini is a malicious mIRC 
configuration file and is also detected as Troj/Zapchas-BJ. The other 
files are harmless.

The following registry entries are set or modified, so that 
svchost.exe is run when files with extensions of CHA and IRC are 
opened/launched:

HKCR\ChatFile\Shell\open\command
(default)
<System>\svchost.exe" -noconnect

HKCR\irc\Shell\open\command
(default)
<System>\svchost.exe" -noconnect

Registry entries are set as follows:

HKCR\ChatFile\DefaultIcon
(default)
<System>\svchost.exe

HKCR\irc\DefaultIcon
(default)
<System>\svchost.exe

Registry entries are created under:

HKCU\Software\Microsoft\Microsoft Agent\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mIRC\





Name   Troj/DwnLdr-BYH

Type  
    * Trojan

Affected operating systems  
    * Windows

Side effects  
    * Downloads code from the internet
    * Reduces system security
    * Installs itself in the Registry

Prevalence (1-5) 2

Description
Troj/DwnLdr-BYH is a downloader Trojan for the Windows platform.

Troj/DwnLdr-BYH includes functionality to access the internet and 
communicate with a remote server via HTTP.

Advanced
Troj/DwnLdr-BYH is a downloader Trojan for the Windows platform.

Troj/DwnLdr-BYH includes functionality to access the internet and 
communicate with a remote server via HTTP.

When first run Troj/DwnLdr-BYH copies itself to <System>\ipf.exe and 
creates the file <System>\drivers\winut.dat.

The following registry entry is created to run ipf.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IPF
<System>\ipf.exe

The following registry entries are set, affecting internet security:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firewall
Policy\StandardProfile\AuthorizedApplications\List
<original path to Trojan executable>
<original path to Trojan executable>:*:Enabled:<original Trojan 
filename>

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firewall
Policy\StandardProfile\AuthorizedApplications\List\
<System>\ipf.exe
<System>\ipf.exe:*:Enabled:ipf





Name   Troj/BeastPWS-C

Type  
    * Spyware Trojan

Affected operating systems  
    * Windows

Side effects  
    * Steals information
    * Drops more malware
    * Uses its own emailing engine
    * Records keystrokes
    * Installs itself in the Registry

Prevalence (1-5) 2

Description
Troj/BeastPWS-C is a keylogging Trojan for the Windows platform.

Troj/BeastPWS-C has been seen to arrive in an email claiming to be a 
Microsoft patch for the Winlogon service.

When first installed Troj/BeastPWS-C displays the following bogus 
message:
"Microsoft WinLogon Service successfully patched."

Troj/BeastPWS-C has functionality to email keystrokes and to 
communicate with a remote URL via HTTP.

Advanced
Troj/BeastPWS-C is a keylogging Trojan for the Windows platform.

Troj/BeastPWS-C has been seen to arrive in an email claiming to be a 
Microsoft patch for the Winlogon service.

When first installed Troj/BeastPWS-C displays the following bogus 
message:
"Microsoft WinLogon Service successfully patched."

When first run Troj/BeastPWS-C copies itself to 
<System>\winlogon_patchv1.12 and creates the following file:

<Windows>\winlogon_patchv1.dll

Troj/BeastPWS-C attempts to inject the DLL component into 
iexplore.exe (the Internet Explorer process) if it is running. The 
DLL contains functionality to log keystrokes and email them to a 
remote address. Troj/BeastPWS-C also has functionality to communicate 
with a remote URL via HTTP.

Troj/BeastPWS-C creates the following registry entry in an attempt 
run itself on restart:

HKLM\SOFTWARE\Microsoft\Active Setup\Installed 
Components\{E22DC74F-B084-F0F8-1BCE-00C8AF63188D}\
StubPath
<System>\winlogon_patchv1.12

Troj/BeastPWS-C may also create an entry in the following registry 
key to run itself on restart:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Troj/BeastPWS-C sets the following registry entries, disabling the 
automatic startup of other software:

HKLM\SYSTEM\CurrentControlSet\Services\srservice
Start
4





Name   W32/Zasran-D

Type  
    * Worm

How it spreads  
    * Email attachments

Affected operating systems  
    * Windows

Side effects  
    * Allows others to access the computer
    * Sends itself to email addresses found on the infected computer
    * Installs itself in the Registry
    * Leaves non-infected files on computer

Aliases  
    * Email-Worm.Win32.Banwarum.f
    * W32/Banwarum@MM
    * Win32/Banwarum.F
    * WORM_RANCHNEG.A
    * W32.Banwarum@mm

Prevalence (1-5) 2

Description
W32/Zasran-D is a mass mailing worm with backdoor functionality for 
the Windows platform.

W32/Zasran-D runs continuously in the background, providing a 
backdoor server which allows a remote intruder to gain access and 
control over the computer.

W32/Zasran-D is capable of spreading through email. Email sent by 
W32/Zasran-D has the following properties:

Subject line chosen from:
Ficke meine Brust!
Geld
Geld von Postbank
Geldueberweisungen
Gewonnen? GeWONNEN!
Guten Tag
Hallo!
Hier sind ihre WM Tickets!
Holen sie jetzt ihre WM Tickets ab!
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich bin dauergeill warum?
Ich hab die neuen Fotos Fertig!
Ich hab ihr Geld.
Ich habe Geld von ihren Postbank Konto bekommen
Ich lauf aus bitte leck mich!
Ich liebe dich!
Ihr Geld, Postbank
Ihre Auszahlungen an mich
JehhuuuU! WWWMMMM!!
Komme mit!
Lass dich Umsonst Wixen! Nur ab 18 Jahren!
Missueberweisungen
Nimm mich durch mein Schadz!
Postbank Ueberweisungen
Sie haben WM Tickets gewonnen!
Treibs mit einer schlampe!
Uberweisungen
Ueberweisung an einen falschen Adressanten
Umsonst mein Arschficken ab 18 Jahren!
Warum schicken sie mir Geld?
Weltmeisterschaft!
WM Tickets!

Message text is typically displayed as a GIF file with the words 
chosen from:

Sehr geehrte Damen und Herren,

vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen 
und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen, 
aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne 
Sie nicht und Sie kennen mich nicht.

Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie 
mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 
035/98276590

Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich 
aus versehentlichen Gruenden ein Password darauf gelegt, er lautet 
<random characters>

Mit Freundlichen Gruessen
Manfred Schmidt

-----------------------------

Sehr geehrte Damen und Herren,

seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, 
aber ich glaube es ist ein Fehler unterlaufen. Ich habe ein Konto bei 
der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775

Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter 
folgender
Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld 
zurueckzahlen koennte.

In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort 
fuer das Archiv lautet <random characters>

Mit freundlichen Gruessen
Mattias Botcher

-----------------------------

Sehr geehrte Damen und Herren,

warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es 
gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es 
bitte lassen?
Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437

In dem Attach haben sie ein Log von den Ueberweisungen die sie 
gemacht haben.
Password dafuer lautet <random characters>

Mit freundlichen Gruessen
Gerhard Meyer

-----------------------------

Sehr geehrte Damen und Herren,

ich bevorzuge ihre friedliche Ansichten, aber wir sind keine 
Wohltaetigkeitsorganisation, deswegen bitte wir Sie die 
Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen 
was sie an uns bereits abschickten.

In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur 
den Archiv lautet <random characters>

Mit freundlichen Gruessen
Ingrid Behnke

-----------------------------

Sehr geehrte Damen und Herren,

ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an 
uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns 
nicht und wir wuerden gerne alles zurueck zahlen.

Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort 
dafuer lautet <random characters>

Mit freundlichen Gruessen

Anne Flachman

-----------------------------

Hi,

thx das du Geld an mich schicks, aber kannste damit auf hoeren?

Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. 
Password: <random characters>

mfg Henry

-----------------------------

Hallo,

sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben 
eine Posdbank Account. Ich schicken alles an du zurueck, wenn du 
damit aufhoeren Geld zu schicken. Danke.

Hier eine Anhang mit der Ueberweisung. Password dafuer lautete 
<random characters>

Have a nice day
John Walthers

-----------------------------

Sehr geehrte Damen und Herren,

wir laden Sie rechtherzlich zu unseren Gewinne WM Tickets Aktion. 
Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen. 
Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt 
erfreuen.

Das Kennwort fuer den Formular lautet <random characters>

Herzlichen Dank
Bathe Maune

-----------------------------

Sehr geehrte Damen und Herren,

Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt 
noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie 
sind dabei! Verpassen Sie ihre einmalige Chance nicht!

Anhangspassword: <random characters>

Mit freundlichen Gruessen
Lotto-GDI GmbH

-----------------------------

Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du 
bist haesslich und geblockt, Sorry,.. Du bist nicht haesslich, ich 
war einfach mies drauf. Ich will es wiedergut machen, lade dich damit 
zu WM, Tickets habe ich ins Attach gelegt, entpacke es und druecks 
aus. Password fuer den Archiv lautet <random characters>

mfg Nadine

-----------------------------

Hi man,

ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und 
warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle 
Online Version, drueck es aus und unterschreib.

Password zu dem Archiv lautet <random characters>

Mfg Niemand

-----------------------------

Sehr geehrte Damen und Herren,

Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticket 
koennen sie so viele wie sie wollen zu dem WM Spiel einladen! Alles 
was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre 
Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet 
<random characters>

Mit freundlichen Gruessen
WM
Free Tickets Organisation (kurz gesch. WMFTO)

-----------------------------

Sehr geehrte Damen und Herren,

ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, 
aber wie es sich rausstellte koennen wir wegen politischen 
Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt. 
Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief 
lesen, sind wir schon in einem anderen Land.

Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu 
benoetigte Adresse Habichstra?e 356, Koeln. Wir wuenschen ihnen von 
der ganzen Familie gutes Spiel.

In dem Anhang haben sie ein Foto von den Tickets, Password fuer den 
Archiv lautet <random characters>

Mit freundlichen Gruessen
Salim Heraldulkalam

-----------------------------

Sehr geehrte Damen und Herren,

danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen 
sie damit benachrichtigen, dass Sie GEWONNEN HABT!

Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen 
und zu WM gehen!

Dateianhangspassword: <random characters>

Mit freundlichen Gruessen

Lotterie-NOD GmbH

-----------------------------

Hi Schadz ich schreib aus den Inet cafe in Muenchen

meine neuen Fotos sind fertig und ich vermisse dich!

Die fotos sind gut geweorden ich hab das alles nur dier zuliebe 
getann und das weisst du!

Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden

ah ja und damit sie keiner ausser die oefnet hab ich ein password

drauf gemacht das password ist mein name also: <random characters>

Mit liebe Monica

-----------------------------

Hi sexgott ich bin so geil das ich nicht mehr kann

hier ein paar fotos wie ich grade abgehe!

das password fuer die fotos ist: <random characters>

Gruesse Monica

-----------------------------

Warum bin ich so dauergeil immer muss ich mir was in die MuMu 
reinschieben

ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt 
sich so gut an

was meinst du?

Guck dir meine Fotos an und sag bescheid!

das Password fuer die fotos ist: <random characters>

geilen gruss

Tina

-----------------------------

Oh BABY!!!

Ich bin so geil bitte fick mich

meine muschi leuft aus ich will dich o bitte bitttte.........

hofffendlich bist du auch Geil wenn du meine Pics siehst :P

habe dir paar neue mitgeschickt

das password ist: <random characters>

bye bye

-----------------------------

Ja ich bin deine HERRIN

aber du darfst trozdem mein Hintern ficken

ich weiss nicht warum aber das fuelt sich ueber geil an

mach das baby oder hast du keine lust?

Guck dir meine fotos an du wirst schon lust bekommen

das password fuer die pics ist: <random characters>

cya dein bussi

-----------------------------

Hi honey

wie findest du eigendlich das das deine Schwester so Rumhurt?

ich mag sie voll gerne aber sie hat Robert den Afganer auf party ein 
geblasen

und Tina hat das mit der kamera aufgenommen

es ist deine sache ob du das deinen Eltern zeigst aber das video 
schick ich dir

das password dafuer ist : <random characters>

Alles liebe

-----------------------------

Warum betruegst du Albert?

Ich hab mir dir geschlafen und habe alles getann was du wolltest und 
du du ficks meine schwester wo ich Zwei tage zu Mama wegfahre?

Du bist der groesste Arschloch und es ist vorbei!

das video hat mir Tina geschickt wo du mit ihr gepoppt hast und wie 
ihr das aufgenommen habt

das ist das Beweis und du wirst es noch sehen!

Das video schick ich mit der Email

das password was ich darauf gemacht habe ist: <random characters>

Fick dich

Helena

-----------------------------

Hallo Albert

Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken 
damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann 
werde ich alle deine wuensche erfuellen versprochen! Die fotos sind 
mit der emial

das password hab ich raufgemacht es lautet: <random characters>

-----------------------------

Willst du WM tickets gewinnen?

Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir 
schicken dir 2 Tickets fuer das Finalle!

Der geweinnzettel ist beigefuegt!

Ihr persoenliches password lautet: <random characters>

Ihr WM Team

-----------------------------

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit 
strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr 
Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde 
als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren 
gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in 
den naechsten Tagen schriftlich zugestellt.

Aktenzeichen NR.:# (siehe Anhang)

ACHTUNG: der Anhang ist Password geschuetzt

der Password fuer den Anhang (ihre Akte)

lautet: <random characters>

bitte vergessen sie ihn nicht

Hochachtungsvoll

i.A. Juergen Stock

--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0

-----------------------------

Guten Tag sehr geehrte Damen und Herren!

Meine Web-Site zeichnete Angriffe von ihrer IP Auf

Ich habe mich bei T-Com beschwert und ihre Email bekommen

bitte unterlassen sie alle angriffe auf meine Web-Site

die Anzeige ist erstatet! Die anklage schrift hab ich der Email 
beigefuegt.

Password fuer die Anklageschrift lautet: <random characters>

mfg

Karl Stein

-----------------------------

Tina es ist schluss!

Unterlasse es mir die fotos zu schicken wir sind nicht mehr zusammen 
und ich will dich nicht mehr nackt sehen!

Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!

Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!

damit deine Intimen fotos keiner sieht hab ich einen password rauf 
gemacht

das password ist dein Name: <random characters>

schreib nicht zurueck

Alexei

-----------------------------

Sehr geehrte Frau Tisha

das Zuspammen von meiner Email mir ihren nacktfotos bleibt nicht 
unbemerkt.

Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!

Meinen Anwahlt wurde die sache uebergeben!

Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos

schick ich ihnen mit der Anklageschrift zurueck!

Die fotos und das schreiben hab ich der Email beigefuegt,

dass password lautet: <random characters>

Bitte keine Fotos und Emails mehr

mfg

Kresen

-----------------------------

Warum drohen sie mir hab ich ihnen was getann?

Ich wusste schon lange das Schwarze nicht erweunscht sind!

Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern

ich habe der email einen Anhang beigefuergt da drinne ist eine Kopie 
der Anzeige

das password fuer die Anzeige lautet: <random characters>

mfg

Ublaskar

-----------------------------

Wir werden sehen ich sperre mich ein!

Sie drohen mir das sie mich aufschlitzen wollen?

Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!

Hier die letzte mahnung hab ich der Email beigefuegt!

das Password lautet: <random characters>

Werner Blass

-----------------------------

Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal 
Amt weiter!

Das ist Sexuelle belastigung!

Sie bekommen eine Anzeige und eine geldschtraffe

melden sie sich in den naexten tagen bei der Polzei!

Die vorladung und die Fotos als beweis hab ich der Email beigefuegt

das password ist : <random characters>

Emilion Volks

Attached files have the ZIP file extension with one of the following 
randomly chosen base names:

Abbild-Der-Rechnung
Anhang
Anhang-Tickets
archiv
Auszahlungen
bank-kontoauszuge
Desktop
Kontoauszug
Neuer Ordner
New Folder
Postbank
Postbank-Ueberweisungen
Rechnung
Rechnung-Anhang
Tickets
Ueberweisung
Weltmeisterschaft
WM-Anhang
WM-Tickets

The worm may also create double extensions where the first extension 
is GIF and the final extension is EXE. The zipfile contains a copy of 
W32/Zasran-D.

W32/Zasran-D harvests email addresses from files on the infected 
computer and from the Windows address book.

Advanced
W32/Zasran-D is a mass mailing worm with backdoor functionality for 
the Windows platform.

W32/Zasran-D runs continuously in the background, providing a 
backdoor server which allows a remote intruder to gain access and 
control over the computer.

When W32/Zasran-D is installed it creates the file <Windows system 
folder>\mszsrn32.dll. This file is also detected as W32/Zasran-D.

W32/Zasran-D injects mszsrn32.dll into the WINLOGON.EXE process and 
creates numerous registry entries under the following entry to run 
the DLL component on startup:

HKLM\SOFTWARE\Microsoft\Windows 
NT\CurrentVersion\Winlogon\Notify\mszsrn32

W32/Zasran-D is capable of spreading through email. Email sent by 
W32/Zasran-D has the following properties:

Subject line chosen from:
Ficke meine Brust!
Geld
Geld von Postbank
Geldueberweisungen
Gewonnen? GeWONNEN!
Guten Tag
Hallo!
Hier sind ihre WM Tickets!
Holen sie jetzt ihre WM Tickets ab!
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich bin dauergeill warum?
Ich hab die neuen Fotos Fertig!
Ich hab ihr Geld.
Ich habe Geld von ihren Postbank Konto bekommen
Ich lauf aus bitte leck mich!
Ich liebe dich!
Ihr Geld, Postbank
Ihre Auszahlungen an mich
JehhuuuU! WWWMMMM!!
Komme mit!
Lass dich Umsonst Wixen! Nur ab 18 Jahren!
Missueberweisungen
Nimm mich durch mein Schadz!
Postbank Ueberweisungen
Sie haben WM Tickets gewonnen!
Treibs mit einer schlampe!
Uberweisungen
Ueberweisung an einen falschen Adressanten
Umsonst mein Arschficken ab 18 Jahren!
Warum schicken sie mir Geld?
Weltmeisterschaft!
WM Tickets!

Message text is typically displayed as a GIF file with the words 
chosen from:

Sehr geehrte Damen und Herren,

vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen 
und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen, 
aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne 
Sie nicht und Sie kennen mich nicht.

Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie 
mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 
035/98276590

Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich 
aus versehentlichen Gruenden ein Password darauf gelegt, er lautet 
<random characters>

Mit Freundlichen Gruessen
Manfred Schmidt

-----------------------------

Sehr geehrte Damen und Herren,

seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, 
aber ich glaube es ist ein Fehler unterlaufen. Ich habe ein Konto bei 
der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775

Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter 
folgender
Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld 
zurueckzahlen koennte.

In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort 
fuer das Archiv lautet <random characters>

Mit freundlichen Gruessen
Mattias Botcher

-----------------------------

Sehr geehrte Damen und Herren,

warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es 
gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es 
bitte lassen?
Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437

In dem Attach haben sie ein Log von den Ueberweisungen die sie 
gemacht haben.
Password dafuer lautet <random characters>

Mit freundlichen Gruessen
Gerhard Meyer

-----------------------------

Sehr geehrte Damen und Herren,

ich bevorzuge ihre friedliche Ansichten, aber wir sind keine 
Wohltaetigkeitsorganisation, deswegen bitte wir Sie die 
Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen 
was sie an uns bereits abschickten.

In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur 
den Archiv lautet <random characters>

Mit freundlichen Gruessen
Ingrid Behnke

-----------------------------

Sehr geehrte Damen und Herren,

ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an 
uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns 
nicht und wir wuerden gerne alles zurueck zahlen.

Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort 
dafuer lautet <random characters>

Mit freundlichen Gruessen

Anne Flachman

-----------------------------

Hi,

thx das du Geld an mich schicks, aber kannste damit auf hoeren?

Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. 
Password: <random characters>

mfg Henry

-----------------------------

Hallo,

sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben 
eine Posdbank Account. Ich schicken alles an du zurueck, wenn du 
damit aufhoeren Geld zu schicken. Danke.

Hier eine Anhang mit der Ueberweisung. Password dafuer lautete 
<random characters>

Have a nice day
John Walthers

-----------------------------

Sehr geehrte Damen und Herren,

wir laden Sie rechtherzlich zu unseren Gewinne WM Tickets Aktion. 
Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen. 
Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt 
erfreuen.

Das Kennwort fuer den Formular lautet <random characters>

Herzlichen Dank
Bathe Maune

-----------------------------

Sehr geehrte Damen und Herren,

Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt 
noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie 
sind dabei! Verpassen Sie ihre einmalige Chance nicht!

Anhangspassword: <random characters>

Mit freundlichen Gruessen
Lotto-GDI GmbH

-----------------------------

Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du 
bist haesslich und geblockt, Sorry,.. Du bist nicht haesslich, ich 
war einfach mies drauf. Ich will es wiedergut machen, lade dich damit 
zu WM, Tickets habe ich ins Attach gelegt, entpacke es und druecks 
aus. Password fuer den Archiv lautet <random characters>

mfg Nadine

-----------------------------

Hi man,

ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und 
warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle 
Online Version, drueck es aus und unterschreib.

Password zu dem Archiv lautet <random characters>

Mfg Niemand

-----------------------------

Sehr geehrte Damen und Herren,

Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticket 
koennen sie so viele wie sie wollen zu dem WM Spiel einladen! Alles 
was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre 
Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet 
<random characters>

Mit freundlichen Gruessen
WM
Free Tickets Organisation (kurz gesch. WMFTO)

-----------------------------

Sehr geehrte Damen und Herren,

ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, 
aber wie es sich rausstellte koennen wir wegen politischen 
Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt. 
Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief 
lesen, sind wir schon in einem anderen Land.

Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu 
benoetigte Adresse Habichstra?e 356, Koeln. Wir wuenschen ihnen von 
der ganzen Familie gutes Spiel.

In dem Anhang haben sie ein Foto von den Tickets, Password fuer den 
Archiv lautet <random characters>

Mit freundlichen Gruessen
Salim Heraldulkalam

-----------------------------

Sehr geehrte Damen und Herren,

danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen 
sie damit benachrichtigen, dass Sie GEWONNEN HABT!

Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen 
und zu WM gehen!

Dateianhangspassword: <random characters>

Mit freundlichen Gruessen

Lotterie-NOD GmbH

-----------------------------

Hi Schadz ich schreib aus den Inet cafe in Muenchen

meine neuen Fotos sind fertig und ich vermisse dich!

Die fotos sind gut geweorden ich hab das alles nur dier zuliebe 
getann und das weisst du!

Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden

ah ja und damit sie keiner ausser die oefnet hab ich ein password

drauf gemacht das password ist mein name also: <random characters>

Mit liebe Monica

-----------------------------

Hi sexgott ich bin so geil das ich nicht mehr kann

hier ein paar fotos wie ich grade abgehe!

das password fuer die fotos ist: <random characters>

Gruesse Monica

-----------------------------

Warum bin ich so dauergeil immer muss ich mir was in die MuMu 
reinschieben

ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt 
sich so gut an

was meinst du?

Guck dir meine Fotos an und sag bescheid!

das Password fuer die fotos ist: <random characters>

geilen gruss

Tina

-----------------------------

Oh BABY!!!

Ich bin so geil bitte fick mich

meine muschi leuft aus ich will dich o bitte bitttte.........

hofffendlich bist du auch Geil wenn du meine Pics siehst :P

habe dir paar neue mitgeschickt

das password ist: <random characters>

bye bye

-----------------------------

Ja ich bin deine HERRIN

aber du darfst trozdem mein Hintern ficken

ich weiss nicht warum aber das fuelt sich ueber geil an

mach das baby oder hast du keine lust?

Guck dir meine fotos an du wirst schon lust bekommen

das password fuer die pics ist: <random characters>

cya dein bussi

-----------------------------

Hi honey

wie findest du eigendlich das das deine Schwester so Rumhurt?

ich mag sie voll gerne aber sie hat Robert den Afganer auf party ein 
geblasen

und Tina hat das mit der kamera aufgenommen

es ist deine sache ob du das deinen Eltern zeigst aber das video 
schick ich dir

das password dafuer ist : <random characters>

Alles liebe

-----------------------------

Warum betruegst du Albert?

Ich hab mir dir geschlafen und habe alles getann was du wolltest und 
du du ficks meine schwester wo ich Zwei tage zu Mama wegfahre?

Du bist der groesste Arschloch und es ist vorbei!

das video hat mir Tina geschickt wo du mit ihr gepoppt hast und wie 
ihr das aufgenommen habt

das ist das Beweis und du wirst es noch sehen!

Das video schick ich mit der Email

das password was ich darauf gemacht habe ist: <random characters>

Fick dich

Helena

-----------------------------

Hallo Albert

Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken 
damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann 
werde ich alle deine wuensche erfuellen versprochen! Die fotos sind 
mit der emial

das password hab ich raufgemacht es lautet: <random characters>

-----------------------------

Willst du WM tickets gewinnen?

Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir 
schicken dir 2 Tickets fuer das Finalle!

Der geweinnzettel ist beigefuegt!

Ihr persoenliches password lautet: <random characters>

Ihr WM Team

-----------------------------

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit 
strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr 
Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde 
als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren 
gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in 
den naechsten Tagen schriftlich zugestellt.

Aktenzeichen NR.:# (siehe Anhang)

ACHTUNG: der Anhang ist Password geschuetzt

der Password fuer den Anhang (ihre Akte)

lautet: <random characters>

bitte vergessen sie ihn nicht

Hochachtungsvoll

i.A. Juergen Stock

--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0

-----------------------------

Guten Tag sehr geehrte Damen und Herren!

Meine Web-Site zeichnete Angriffe von ihrer IP Auf

Ich habe mich bei T-Com beschwert und ihre Email bekommen

bitte unterlassen sie alle angriffe auf meine Web-Site

die Anzeige ist erstatet! Die anklage schrift hab ich der Email 
beigefuegt.

Password fuer die Anklageschrift lautet: <random characters>

mfg

Karl Stein

-----------------------------

Tina es ist schluss!

Unterlasse es mir die fotos zu schicken wir sind nicht mehr zusammen 
und ich will dich nicht mehr nackt sehen!

Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!

Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!

damit deine Intimen fotos keiner sieht hab ich einen password rauf 
gemacht

das password ist dein Name: <random characters>

schreib nicht zurueck

Alexei

-----------------------------

Sehr geehrte Frau Tisha

das Zuspammen von meiner Email mir ihren nacktfotos bleibt nicht 
unbemerkt.

Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!

Meinen Anwahlt wurde die sache uebergeben!

Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos

schick ich ihnen mit der Anklageschrift zurueck!

Die fotos und das schreiben hab ich der Email beigefuegt,

dass password lautet: <random characters>

Bitte keine Fotos und Emails mehr

mfg

Kresen

-----------------------------

Warum drohen sie mir hab ich ihnen was getann?

Ich wusste schon lange das Schwarze nicht erweunscht sind!

Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern

ich habe der email einen Anhang beigefuergt da drinne ist eine Kopie 
der Anzeige

das password fuer die Anzeige lautet: <random characters>

mfg

Ublaskar

-----------------------------

Wir werden sehen ich sperre mich ein!

Sie drohen mir das sie mich aufschlitzen wollen?

Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!

Hier die letzte mahnung hab ich der Email beigefuegt!

das Password lautet: <random characters>

Werner Blass

-----------------------------

Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal 
Amt weiter!

Das ist Sexuelle belastigung!

Sie bekommen eine Anzeige und eine geldschtraffe

melden sie sich in den naexten tagen bei der Polzei!

Die vorladung und die Fotos als beweis hab ich der Email beigefuegt

das password ist : <random characters>

Emilion Volks

Attached files have the ZIP file extension with one of the following 
randomly chosen base names:

Abbild-Der-Rechnung
Anhang
Anhang-Tickets
archiv
Auszahlungen
bank-kontoauszuge
Desktop
Kontoauszug
Neuer Ordner
New Folder
Postbank
Postbank-Ueberweisungen
Rechnung
Rechnung-Anhang
Tickets
Ueberweisung
Weltmeisterschaft
WM-Anhang
WM-Tickets

The worm may also create double extensions where the first extension 
is GIF and the final extension is EXE. The zipfile contains a copy of 
W32/Zasran-D.

W32/Zasran-D harvests email addresses from files on the infected 
computer and from the Windows address book.





Name   Troj/Small-BPI

Type  
    * Trojan

Affected operating systems  
    * Windows

Side effects  
    * Allows others to access the computer
    * Downloads code from the internet
    * Installs itself in the Registry

Aliases  
    * Trojan-Downloader.Win32.Small.ik

Prevalence (1-5) 2

Description
Troj/Small-BPI is a backdoor Trojan which allows a remote intruder to 
gain access and control over the computer.

Troj/Small-BPI includes functionality to access the internet and 
communicate with a remote server via HTTP.

Advanced
Troj/Small-BPI is a backdoor Trojan which allows a remote intruder to 
gain access and control over the computer.

Troj/Small-BPI includes functionality to access the internet and 
communicate with a remote server via HTTP.

When first run Troj/Small-BPI copies itself to:

<User>\Local Settings\Application Data\<random>.exe
<System>\<random>.exe

Where <random> is a randomly generated filename

The following registry entries are created to run <random>.exe on 
startup:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
<random>.exe
<User>\Local Settings\Application Data\<random>.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<random>.exe
<System>\<random>.exe





Name   W32/Sdbot-HB
Type  

    * Worm

Aliases  

    * Backdoor.IRCBot.gen
    * Win32/IRCBot.CL

Protection  

    * Download virus identity (IDE) file

Protection available since  7 April 2004 09:05:46 (GMT)
Protection history  

    * Updated - 30 May 2006 08:02:43 (GMT)
    * Published - 7 April 2004 09:05:46 (GMT)

Latest protection included in our products from  July 2006 (4.07)
More information on IDE files  

    * What are IDE files?
    * How to use IDE files
    * Get the latest IDE files

Description

    * Summary
    * Description
    * Recovery
    *  

This section helps you to understand how it behaves

W32/Sdbot-HB is a worm which attempts to spread to remote network 
shares. It also contains backdoor Trojan functionality, allowing 
unauthorised remote access to the infected computer via IRC channels 
while running in the background as a service process.

W32/Sdbot-HB spreads to network shares with weak passwords as a 
result of the backdoor Trojan element receiving the appropriate 
command from a remote user.

W32/Sdbot-HB copies itself to the Windows system folder as 
MPTCLOAXS.EXE and creates an entry in the registry at the following 
location to run itself on system startup:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

W32/Sdbot-HB attempts to terminate a number of process relating to 
anti-virus and security products, as well as some relating to 
W32/Blaster-A and its variants, including the following:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ADVXDWIN.EXE
ALERTSVC.EXE
amon.exe
ANTITROJAN.EXE
ANTI-TROJAN.EXE
ANTS.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
bot.exe
CCAPP.EXE
CCEVTMGR.EXE
CCPXYSVC.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
CPDCLNT.EXE
dcomx.exe
DEFWATCH.EXE
DFW.EXE
drweb.exe
Drweb32w.exe
drweb386.exe
Drwebupw.exe
Drwebwcl.exe
DUMP.EXE
DUMP1.EXE
DUMPED.EXE
DUMPED1.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
enbiei.exe
ESAFE.EXE
ESPWATCH.EXE
EXPLORER32.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
GUARDDOG.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
index.exe
IOMON98.EXE
IRIS.EXE
JEDI.EXE
KILL.EXE
KILLER.EXE
KPF4GUI.EXE
KPF4SS.EXE
LDNETMON.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
lolx.exe
LOOKOUT.EXE
LordPE.EXE
LordPE32.EXE
LUALL.EXE
MINILOG.EXE
MOOLIVE.EXE
MPFTRAY.EXE
msblast.exe
MSCONFIG.EXE
mslaugh.exe
mspatch.exe
N32SCANW.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NDD32.EXE
NETSTAT.EXE
NETUTILS.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
nod.exe
nod32.exe
NORMIST.EXE
NPROTECT.EXE
NPSSVC.EXE
NTVDM.EXE
NUPGRADE.EXE
NVC95.EXE
NVSVC32.EXE
NWTOOL16.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
penis32.exe
PERSFW.EXE
PM.exe
POPROXY.EXE
PORTMONITOR.EXE
PRKILLER.EXE
PROCDUMP.EXE
PROCDUMP32.EXE
PS.EXE
PSKILL.EXE
PSLIST.EXE
RAV7.EXE
RAV7WIN.EXE
REGEDIT.EXE
RESCUE.EXE
root32.exe
rpc.exe
rpctest.exe
RTVSCN95.EXE
RUNDDL31.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
scvhost.exe
SERV95.EXE
SMC.EXE
SPHINX.EXE
spider.exe
Spiderml.exe
spidernt.exe
SWEEP95.EXE
SWNETSUP.EXE
SymProxySvc.exe
SYSCFG32.EXE
SYSOTRAY32.EXE
TASKKILL.EXE
TASKLIST.EXE
TASKMGR.EXE
TBSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TCPDUMP.EXE
TCPDUMP32.EXE
TDS2-98.EXE
TDS2-NT.EXE
teekids.exe
tftpd.exe
VET95.EXE
VETTRAY.EXE
VPC32.EXE
VPTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSMON.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
WINDRIVER.EXE
WINEXEC.EXE
WINHEX.EXE
WINSOCK2_2.EXE
worm.exe
WRADMIN.EXE
WRCTRL.EXE
ZAPRO.EXE
ZONEALARM.EXE





Name   W32/Floppy-F

Type  
    * Worm

Affected operating systems  
    * Windows

Side effects  
    * Installs itself in the Registry

Aliases  
    * Virus.Win32.VB.o
    * Win32/VB.NDO
    * W32.SillyFDC
    * WORM_CONFIGCOM.A

Prevalence (1-5) 2

Description
W32/Floppy-F is a floppy drive worm that may attempt to copy itself 
to A:\New document.exe.

Advanced
W32/Floppy-F is a floppy drive worm that may attempt to copy itself 
to A:\New document.exe.

When first run W32/Floppy-F may copy itself to:
<System>\calc.exe
<Windows>\config_.com
<Startup>\startupfolder.com
<Root>\New Document.exe

W32/Floppy-F will also attempt to copy itself into folders on local 
hard drives using the folder name as the executable name. For 
example, <Folder Name>\<Folder Name>.exe

W32/Floppy-F creates the file \Autorun.inf. This file may be deleted.

The following registry entry is created to run config_.com on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Explorer
<Windows>\config_.com

W32/Floppy-F may periodically cause the infected computer to beep and 
may also attempt to shutdown Microsoft Windows.





Name   Troj/Zlob-QJ

Type  
    * Spyware Trojan

Side effects  
    * Modifies data on the computer
    * Deletes files off the computer
    * Steals information
    * Drops more malware
    * Downloads code from the internet
    * Installs itself in the Registry

Aliases  
    * Trojan-Downloader.Win32.Zlob.qj
    * Win32/TrojanDownloader.Zlob.OW

Prevalence (1-5) 2

Description
Troj/Zlob-QJ is a Trojan for the Windows platform.

The Trojan downloads and installs files from remote locations.

The Trojan also injects malicious code into system processes.

Advanced
Troj/Zlob-QJ is a Trojan for the Windows platform.

The Trojan typically appears as an installer for "Media-Codec". When 
run, the Trojan creates the following files:

<System>\regperf.exe (also detected as Troj/Zlob-QJ)
<System>\ld<random>.tmp (also detected as Troj/Zlob-QJ)
<Program files>\Media-Codec\uninst.exe (harmless)

The Trojan downloads and installs files from remote locations. The 
following registry entries are also set:

HKCR\EMediaCodec.Chl\CLSID\
(6BF52A52-394A-11D3-B153-00C04F79FAA6)

HKCR\Media-Codec.Chl\CLSID\
(6BF52A52-394A-11D3-B153-00C04F79FAA6)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
ecodec.exe
C:\Program Files\Media-Codec\ecodec.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
wininet.dll
regperf.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
ProductionEnvironment
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
DisplayName
Media-Codec 4.0

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
UninstallString
C:\Program Files\Media-Codec\uninst.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
DisplayVersion
4.0

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
URLInfoAbout
www.media-codec.com

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
Publisher
Media-Codec Software

The Trojan also injects malicious code into system processes.





Name   Troj/Bancos-AJS

Type  
    * Spyware Trojan

Affected operating systems  
    * Windows

Side effects  
    * Steals information
    * Downloads code from the internet

Aliases  
    * Trojan-Spy.Win32.Bancos.ha
    * Win32/Spy.Bancos.U
    * TSPY_BANCOS.BEB

Prevalence (1-5) 2

Description
Troj/Bancos-AJS is an Internet Banking Trojan for the Windows platform.

Advanced
Troj/Bancos-AJS is an Internet Banking Trojan for the Windows platform.

Troj/Bancos-AJS targets the users of several Brazilian banks, by 
monitoring the user's internet activity and displaying fake login 
pages if the user visits certain predefined URLs. Any login details 
entered on the fake pages are logged.

Troj/Bancos-AJS contains the functionality to email these logged 
details to a remote user.

When first run Troj/Bancos-AJS copies itself to 
<Windows>\windows32.exe.





Name   Troj/QQHelp-P

Type  
    * Trojan

Affected operating systems  
    * Windows

Side effects  
    * Downloads code from the internet
    * Installs itself in the Registry

Aliases  
    * BackDoor-CVM

Prevalence (1-5) 2

Description
Troj/QQHelp-P is a downloader/updater Trojan for advertising software.

Troj/QQHelp-P includes functionality to access the internet and to 
download, install and run new software.

Advanced
Troj/QQHelp-P is a downloader/updater Trojan for advertising software.

Troj/QQHelp-P includes functionality to access the internet and to 
download, install and run new software.

When Troj/QQHelp-P is installed the following files are created:

<Common Files>\updat\update.dat
<Common Files>\updat\update.exe

The following registry entry is created to run update.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Update
<Common Files>\UPDAT\Update.exe

Registry entries are created under:

HKLM\SOFTWARE\Lamp





Name   Troj/Dloadr-AIP

Type  
    * Trojan

Affected operating systems  
    * Windows

Side effects  
    * Turns off anti-virus applications
    * Downloads code from the internet

Prevalence (1-5) 2

Description
Troj/Dloadr-AIP is a Trojan for the Windows platform.

The Trojan downloads and executes files from a remote site. At the 
time of writing, the downloaded file was detected by Sophos's 
Anti-Virus products as Troj/Cimuz-AL.

Troj/Dloadr-AIP may dismiss notification messages displayed by some 
firewall applications.

Advanced
Troj/Dloadr-AIP is a Trojan for the Windows platform.

When first run Troj/Dloadr-AIP copies itself to <Windows system 
folder>\ipf.exe and creates the file <Windows system 
folder>\drivers\winut.dat. The winut.dat file is a harmless data file.

The following registry entries are set, affecting internet security:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ 
FirewallPolicy\StandardProfile\AuthorizedApplications\List
<pathname of the Trojan executable>
<path>\<original filename>:*:Enabled:<original base filename>

The Trojan downloads and executes files from a remote site. At the 
time of writing, the downloaded file was detected by Sophos's 
Anti-Virus products as Troj/Cimuz-AL.

Troj/Dloadr-AIP may dismiss notification messages displayed by some 
firewall applications.





Name   Troj/Mailbot-AH

Type  
    * Trojan

Affected operating systems  
    * Windows

Side effects  
    * Downloads code from the internet

Aliases  
    * rojan-Dropper.Win32.Small.ape
    * Win32/SpamTool.Mailbot
    * SpamTool.Win32.Mailbot.az

Prevalence (1-5) 2

Description
Troj/Mailbot-AH is a Trojan for the Windows platform.

Troj/Mailbot-AH includes functionality to download, install and run 
new software.

When Troj/Mailbot-AH is installed it creates the file 
<System>\drivers\pe386.sys and runs it as a system service.

Advanced
Troj/Mailbot-AH is a Trojan for the Windows platform.

Troj/Mailbot-AH includes functionality to download, install and run 
new software.

When Troj/Mailbot-AH is installed it creates the file 
<System>\drivers\pe386.sys and runs it as a system service.

Troj/Mailbot-AH may be used to send unsolicited emails from an 
infected computer.





Name   Troj/Dloadr-WY

Type  
    * Trojan

Affected operating systems  
    * Windows

Side effects  
    * Downloads code from the internet
    * Installs itself in the Registry

Aliases  
    * Trojan-Downloader.Win32.Banload.gc
    * PWS-Banker.gen.i

Prevalence (1-5) 2

Description
Troj/Dloadr-WY is a Trojan for the Windows platform.

Troj/Dloadr-WY includes the functionality to access the internet and 
communicate with a remote server via HTTP.

Advanced
Troj/Dloadr-WY is a Trojan for the Windows platform.

Troj/Dloadr-WY includes the functionality to access the internet and 
communicate with a remote server via HTTP.

Troj/Dloadr-WY creates the following registry entry in an attempt to 
run msnwisterd.exe on system startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msnmenseger
<Windows system folder>\msnwisterd.exe





Name   W32/Tigs-B

Type  
    * Worm

How it spreads  
    * Network shares

Affected operating systems  
    * Windows

Side effects  
    * Modifies data on the computer
    * Reduces system security
    * Installs itself in the Registry

Prevalence (1-5) 2

Description
W32/Tigs-B is a worm for the Windows platform.

Advanced
W32/Tigs-B is a worm for the Windows platform.

When first run, W32/Tigs-B copies itself to one or more of the 
following locations:

<Windows folder>\taskmgr.exe
<Current Folder>\hilder.exe
<Windows system folder>\file.sys

W32/Tigs-B will also create the following batch file (also detected 
as W32/Tigs-B):

<Windows system folder>\infect.bat

This file will attempt to relabel all drives from C: to H: as "HACKED"

The worm may also attempt to copy itself to drives A: and G: as 
wichtig.exe.

If the user is using the German Language edition of Windows, 
W32/Tigs-B will copy itself to:
<All Users>\Dokumente\funny.exe
<All Users>