Ich habe aus reiner Interesse mal eine als SPAM markierte Mail auf meinem Test- PC abgerufen und geöffnet.
Es ist die Euch sicher bekannte Mail mit dem Inhalt
"Die Anzahlung Nr.327521699894 ist erfolgt
Es wurden 4846.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung"
- und einem Dateianhang "Abrechnung.zip"
Die Kontrolle dieses Anhanges mit AntiVir ergab diese Meldung:
Ich habe die Rar trotzdem auf meinem Test- PC (bei getrennter Internet- Verbindung) entpackt.
Das entstand:
Der Inhalt des Ordners scann:
- und die Eigenschaften der "abrechnung.Ink":
Mich interessiert nun - diese Zusätze zu der cmd.exe wurden ja von diesem Virus geschrieben.
Was bewirken diese?
Wenn ich die Eigenschaften der cmd.exe im system32 direkt aufrufe, fehlen die.
Bevor es da Mißverständnisse gibt: Ich habe das absichtlich gemacht.
Und ich mache das auf meinem Test- PC, dessen Betriebssystem ich nach einem solchen Versuch grundsätzlich formatiere
- und durch ein Sauberes ersetze.
Jürgen
jueki
PeterP1
