Ham-Master
02.02.09, 17:56
Ntech3 02.02.2009
Verbreitung:---> *****
Schaden: -------> *****
Der Wurm Ntech3 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Hot game. You ask me about this game, Here is it.
Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.
Größe des Dateianhangs: 20.992 Bytes.
E-Mail-Text: Amusing game... In your attachemnt.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A
– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A
Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A
Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
ActiveService
• runtime
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
ActiveService
• runtime2
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
Verbreitung:---> *****
Schaden: -------> *****
Der Wurm Ntech3 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Hot game. You ask me about this game, Here is it.
Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.
Größe des Dateianhangs: 20.992 Bytes.
E-Mail-Text: Amusing game... In your attachemnt.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A
– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A
Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A
Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
ActiveService
• runtime
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
ActiveService
• runtime2
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!