Es handelt sich hier wie bei
http://www.trojaner-board.de/68472-t...nol-b-6-a.html um Daonol.B - ein polymorphes Rootkit unter Windows\System32\wdmaud.sys. "Getarnt" ist es als Audio-Device, und wird entsprechend auch unter HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 als aux* (erstes freies) registriert, und so automatisch gestartet. Zum entfernen reicht es, die Datei zu löschen bzw. den Registry-Eintrag zu entfernen. Auf keinen Fall system32\drivers\wdmaud.sys oder system32\wdmaud.drv löschen!
Wegen der Polymorphie haben die meisten AV-Programme noch Probleme damit, Avast, G-Data und Microsoft OneCare hatten das relativ früh im Griff, ich denke die anderen werden bald nachziehen.
Quelle der aktuellen Infektionswelle ist vermutlich ein PDF-Exploit von veralteten Acrobatversionen (7/8) über einen kompromittierten Webserver für Bannerwerbung, der eine .exe von einem russischen Server geladen hat.
13.01.2009, 16:39
Baum-Darstellung