W32/SpyBot-AF ist ein Peer-to-Peer-Wurm und ein Backdoor-Trojaner, der sich mit dem Namen wlogf.exe oder einem zufälligen Namen in den Windows-Systemordner kopiert und die folgenden Registrierungseinträge erstellt:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Wnsck2 driver= wlogf.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Wnsck2 driver= wlogf.exe
Der Wurm erstellt den Ordner <System>\kazaabackupfiles und kopiert sich mit folgenden Namen in diesen Ordner:
C&C Generals_* bitte keine illegalen Tipps *.exe
gta_vice_city_* bitte keine illegalen Tipps *.exe
Halo_key_generator.exe
halo_* bitte keine illegalen Tipps *.exe
Halo_multiplayer_key_gen.exe
max_payne2_* bitte keine illegalen Tipps *.exe
Max_payne2_downloader.exe
Max_Payne2_fall_of_max_payne_* bitte keine illegalen Tipps *.exe
Midnightclub_* bitte keine illegalen Tipps *.exe
NHL_2004_* bitte keine illegalen Tipps *.exe
W32/SpyBot-AF erstellt den Registrierungseintrag HKCU\Software\Kazaa\LocalContent\Dir0, der auf diesen neuen Ordner verweist.
W32/SpyBot-AF meldet sich an vordefinierten IRC-Servern an und wartet auf Backdoor-Befehle.
Unter Windows NT/2000/XP/2003 müssen Sie die folgenden Registrierungseinträge bearbeiten. Unter Windows 95/98
* ist das Entfernen dieser Schlüssel optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Wnsck2 driver= wlogf.exe
Löschen Sie den Eintrag, sofern er existiert.
Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:
HKU\[Codeziffer]\Software\Microsoft\Windows\CurrentVersion\
RunOnce\Wnsck2 driver= wlogf.exe
Löschen Sie den Eintrag, sofern er existiert.
Schließen Sie den Registrierungseditor und starten Sie Ihren Computer neu.