Hallo Markus,

die Betroffenen sollen auf gar keinen Fall die Virusdatei sofort löschen! Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\" Genau diese Datei unbedingt sichern, bervor man die löscht.
Es könnte sein, dass für jeden Rechner ein zufälliger Schlüssel erfunden wird und dieser Schlüssel fest in die Virusdatei unter System32 gepatcht wird. Wenn die Virusdatei gelöscht wird dann wird auch der Schlüssel eventuell gelöscht und die Daten sind verloren!

Ich habe den Viruscode nicht bei mir und kann es leider jetzt nicht überprüfen. Aber ich wundere mich seit gestern Nacht darüber, dass ich einen Teil eines Schlüssels in der Virendatei gefunden habe (PartOfPassword in der Procedure decrypt oben). Das ist für mich völlig unerwartet. Es macht aus Sicht des Virenprogrammieres jedoch Sinn: Löscht man den Virus, dann zerstört man den einzigen und unwiderbringlichen Schlüssel zu seinen Daten.

Bitte warne die Betroffenen.