Dldr.Tiny8 12.11.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Dldr.Tiny8 ist per E-Mail unterwegs und lockt mit einem angeblichen Paket das von UPS versendet wird.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Ihr UPS Paket N5277746143

Größe des Dateianhangs: 2.139 Bytes

E-Mail-Text unterschiedlich – meist: Ihr UPS Paket N5277746143. Weitere

Informationen zum Versandstatus des Pakets finden Sie im Anhang.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird versucht die folgenden Dateien herunter zuladen:

– Die URL ist folgende:
• http://www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

– Die URL ist folgende:
• http://www.abetterstart.com/c/2000/**********

Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

Crypt.XPACK.Gen 17.11.2010

Verbreitung: --->*****
Schaden:------>*****

Der Trojaner Crypt.XPACK.Gen ist wieder per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben.
Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

Mytob.PK 19.11.2010

Verbreitung:--->*****
Schaden:--->*****

Der Wurm Mytob.PK ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die behauptet,
der aktuelle E-Mail-Zugang wäre vom Provider deaktiviert worden. Nähere Angaben zu dieser
E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über den deaktivierten E-Mail-Account.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Email Account Suspension

Dateianhang: account-details

Größe des Dateianhangs: 56.832 Bytes.

E-Mail-Text: „Dear user %username from receivers email address%”.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\rnathchk.exe

Folgende Einträge in der Windows Registry werden angelegt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

Folgende Registry-Schlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

Chir.D 31.01.2011

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Chir.D ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die einen Besuch des Absenders ankündigt.
Nähere Angaben zu dieser Person können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den Gast.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: %Benutzernamen der Emailadresse des Absenders% is coming!

Dateianhang: PP.exe

E-Mail-Text: Unterschiedlicher Text – der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe

Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Mytob.A


Verbreitung: *****

Schaden: *****

zurzeit ist der Wurm Mytob.A wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „Mail Delivery System”

Dateianhang: „body.zip.exe“

Größe des Dateianhangs: 41.824 Bytes

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:

%SYSDIR%\taskgmrs.exe
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr
C:\hellmsn.exe
Folgende Einträge in die Registry werden angelegt:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINTASK"="taskgmr.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
"WINTASK"="taskgmr.exe"
[HKCU\Software\Microsoft\OLE]
"WINTASK"="taskgmr.exe"
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
"WINTASK"="taskgmr.exe"
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Dldr.Tiny7


Verbreitung: *****

Schaden: *****

der Trojaner Dldr.Tiny7 ist per E-Mail unterwegs und lockt diesmal mit einem angeblichen Paket das von der Post versendet wird. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Ihr Post Paket N52777

Größe des Dateianhangs: 2.139 Bytes

E-Mail-Text unterschiedlich – meist: Ihr Post Paket N52777. Weitere Informationen zum Versandstatus des Pakets finden Sie im Anhang.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es wird versucht die folgenden Dateien herunter zuladen:

Die URL ist folgende: www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
Die URL ist folgende: www.abetterstart.com/c/2000/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Klez.E7


Verbreitung: *****

Schaden: *****

zurzeit werden E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang stecken natürlich keine Informationen über den Abbuchungsauftrag, sondern der heimtückische Wurm Klez.E7, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen:

Betreff: Vertrag

Dateianhang: Rechnung.rar

Größe des Dateianhangs: 65 KByte

E-Mail-Text: „Sehr geehrte Kundin, sehr geehrte Kunde,
Ihr Abbuchungsauftrag wurde erfüllt.
Sie finden die Details zu der Rechnung im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
%TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Es werden folgende Dateien erstellt:

Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
%TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
%PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C
Folgende Dateien werden gelöscht:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT
Shlwapi.dll
Kernel32.dll
netapi32.dll
sfc.dll
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

[HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]

Type = 110
Start = 2
ErrorControl = 0
ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
"ObjectName"="LocalSystem"
[HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]

Security = %hex values
[HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]

0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
Count = 1
NextInstance = 1
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Soccer.C


Verbreitung: *****

Schaden: *****

der Wurm Soccer.C lockt mit Bildern einer angeblich nackten Fußball-Mannschaft. Im Anhang der E-Mail befinden sich dann wie immer keine Bilder, sondern der Wurm lauert darauf, das betreffende System zu kapern.

Die E-Mail hat folgendes Aussehen:

Betreff: „Naked World Cup game set“

Dateianhang: soccer_nudist.bmp.exe

E-Mail-Text: „Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos ;)“.

Dateigröße: 39.904 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SYSDIR%msctools.exe
Folgende Einträge in der Windows Registry werden angelegt:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"nsdevice"="%SYSDIR%msctools.exe"
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"nsdevice"="%SYSDIR%msctools.exe"
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces]
"nsdevice"="%SYSDIR%msctools.exe"
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner PPR.Troj


Verbreitung: *****

Schaden: *****

„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail den Trojaner PPR.Troj zu verteilen. Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet, erhält man jedoch keine Informationen über die Forderung. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „Rechnung“ oder „Lastschrift“

E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\Internet_Explorer.exe
Es wird folgende Datei erstellt:

C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\Software\Microsoft\FkuCMxHi]
htIRtBqg=%Hex Werte%
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Crypt.XPACK.Gen14


Verbreitung: *****

Schaden: *****

der Trojaner Crypt.XPACK.Gen14 ist per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%home%\Application Data\hidn\hldrrr.exe
%home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

c:\temp.zip
Es wird folgende Datei erstellt:

c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt: Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\Software\FirstRun]
FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
Start = %Einstellungen des Benutzers%
Neuer Wert:
Start = 4
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Traxgy.B5


Verbreitung: *****

Schaden: *****

der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer. Im Anhang befindet sich ein angebliches Dokument. Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen. Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet, stattdessen installiert sich der Wurm auf dem System.

Die E-Mail hat folgendes Aussehen:

Betreff: %chinesischer Text%

Dateianhang: Document

Die Dateierweiterung ist eine der folgenden: .exe

Größe des Dateianhangs: 57.344 Bytes

E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

A:\Explorer.EXE
A:\WINDOWS.EXE
%Laufwerk%:\WINDOWS.EXE
%Laufwerk%:\ghost.bat
%alle Verzeichnisse%\%aktueller Verzeichnisname%.exe
Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:

An: %WINDIR%\\system\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\fonts\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\\temp\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\help\Mit einem der folgenden Namen:
\%Hexadezimale Zahl%.com
Es werden folgende Dateien erstellt:

Nicht virulente Datei:
%alle Verzeichnisse%\desktop.ini
A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
%Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
%alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com
Der Wert des folgenden Registry-Schlüssels wird gelöscht:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
KaV300XP
Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\CabinetState]
Alter Wert:
fullpath = %Einstellungen des Benutzers%
Neuer Wert:
fullpath = dword:00000001
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]

Alter Wert:
HideFileExt = %Einstellungen des Benutzers%
Hidden = %Einstellungen des Benutzers%

Neuer Wert:
HideFileExt = dword:00000001
Hidden = dword:00000000
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Dropper.N


Verbreitung: *****

Schaden: *****

zurzeit werden E-Mails versandt, die angeblich von Amazon stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 715 Euro für einen bestellten Laptop hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern der heimtückische Trojaner Dropper.N, der das betreffende System infiziert.

Die E-Mail hat folgendes Aussehen:

Betreff: „Ihre Bestellung 2984234 bei Amazon.de“

Dateianhang: „Rechnung.doc.zip“

E-Mail-Text: „Vielen Dank für Ihre Bestellung bei Amazon.de!
Das Sony VAIO Notebook wird in Kürze versendet. Die Kosten von 715,- Euro werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer Bestellung entnehmen Sie bitte der angefügten Rechnung. Falls Sie die Bestellung stornieren möchte, bitte den in der Rechnung angegebenen Kundenservice anrufen und Ihre Bestellnummer bereithalten. Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Dateigröße: 12.800 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\%zufällige Buchstabenkombination%.exe
Es wird versucht die folgenden Dateien herunterzuladen:
Die URLs sind folgende:

www.hano.sk/aikido/**********win32.exe?l=
www.cibarealestate.com/includes/**********win32.exe?l=
www.thaibaa.org/Webboard/**********win32.exe?l=
www.thai-icecream.com/**********win32.exe?l=
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Crypt.XPACK.Gen14


Verbreitung: *****

Schaden: *****

der Trojaner Crypt.XPACK.Gen14 ist per E-Mail unterwegs. Im Mittelpunkt steht ein angebliches Video mit der beliebten Moderatorin Erin Andrews des US-Sportsenders ESPN.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein Video präsentiert, stattdessen installiert sich der Trojaner auf dem betreffenden System und nimmt Kontakt mit einem Server auf. Anschließend versucht der Trojaner Zugangsdaten für Onlinebanking und Kreditkartennummern auszuspähen.

Die E-Mail hat folgendes Aussehen:

Betreff: „Erin Andrews Free Video”

Dateianhang: „video.avi.exe“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%home%\Application Data\hidn\hldrrr.exe
%home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

c:\temp.zip
Es wird folgende Datei erstellt:

c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\Software\FirstRun]
FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
Start = %Einstellungen des Benutzers%
Neuer Wert:
Start = 4
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Badware12


Verbreitung: *****

Schaden: *****

der Trojaner Badware12 ist unterwegs und versucht Anwendern ein falsches Microsoft Office-Update vorzugaukeln. Die E-Mail ist angeblich vom Onlinedienst MSN und enthält ein Update für Office 2010. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen:

Betreff: „Update for Office 2010 only“

E-Mail-Text: unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es werden folgende Dateien erstellt:

%SYSDIR%\recovery.exe
%SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Mydoom.CD


Verbreitung: *****

Schaden: *****

der Wurm Mydoom.CD verstopft zurzeit viele Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail, in der sich angeblich Fotos befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man dann jedoch keine Fotos, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Hello friend ;)

Dateianhang: i_love_u.zip.exe

Größe des Dateianhangs: 28.160 Bytes

E-Mail-Text: Hey dear! Here is my photos, as I promised

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Folgende Datei wird auf dem System installiert:

%SYSDIR%\wmedia16.exe
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WMedia16 = wmedia16.exe
Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:

txt, htm, sht, php, asp, dbx, tbb, adb, wab
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm NetSky.PS


Verbreitung: *****

Schaden: *****

zurzeit sind E-Mails unterwegs, die behaupten, der Empfänger habe illegale Internetseiten besucht. Eine Liste der Internetseiten befindet sind im Anhang. In dem Anhang steckt natürlich keine Liste illegaler Internetseiten, sondern der Wurm NetSky.PS, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen:

Betreff: „Internet Provider Abuse“

Dateianhang: „details.pdf.exe“

E-Mail-Text: „I noticed that you have visited illegal websites. See the name in the list!“

Dateigröße: 50.688 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%WINDIR%\fvprotect.exe
Es werden folgende Dateien erstellt:
Es wird folgende Archivdatei mit der Kopie der Malware erstellt:

%WINDIR%\zipped.tmp – MIME enkodierte Kopie seiner selbst:
%WINDIR%\zip1.tmp
%WINDIR%\zip2.tmp
%WINDIR%\zip3.tmp
%WINDIR%\base64.tmp
%WINDIR%\userconfig9x.dll
Folgender Registryschlüssel wird hinzugefügt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
„Norton Antivirus AV"="%WINDIR%\FVProtect.exe”
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Netsky.D


Verbreitung: *****

Schaden: *****

der Wurm Netsky.D verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Here is the document

Dateianhang: yours.pif

Größe des Dateianhangs: 17.424 Bytes

E-Mail-Text: Your document is attached

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

WINDIR%\winlogon.exe
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"ICQ Net"=%WINDIR%\winlogon.exe -stealth"
Die Werte der folgenden Registryschlüssel werden gelöscht:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

DELETE ME
service

Explorer
system.

KasperskyAv
Taskmon

msgsvr32
Windows Services Host

Sentry



HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

au.exe
OLE

d3dupdate.exe
Taskmon

Explorer
Windows Services Host

KasperskyAv



Alle Werte der folgenden Registryschlüssel werden gelöscht:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF
HKLM\System\CurrentControlSet\Services\WksPatch
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Badware


Verbreitung: *****

Schaden: *****

der Trojaner Badware ist unterwegs und versucht Anwendern ein falsches Windows-Update vorzugaukeln. Die E-Mail ist angeblich von Microsoft und enthält ein kritisches Sicherheits-Update.

Das ist natürlich gelogen, denn niemand würde ein Update per E-Mail versenden: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen:

Betreff: „Critical Microsoft Update“

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es werden folgende Dateien erstellt:

%SYSDIR%\recovery.exe
%SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Sober


Verbreitung: *****

Schaden: *****

der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten, die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehe:

Betreff: „Ihr Account wurde eingerichtet!“

Dateianhang: Service.pdf.exe

E-Mail-Text: „Danke das Sie sich für uns entschieden haben.“

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es wird folgendes Verzeichnis erstellt:

%WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:

An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
smss.exe
csrss.exe
services.exe
Eine Datei wird überschrieben:

%SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:

Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
%WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

WinData
c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner ZBot.dkx


Verbreitung: *****

Schaden: *****

eine mit einem Trojaner verseuchte E-Mail, behauptet angeblich ein Paket empfangen zu haben. Weitere Informationen über das Paket könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über das Paket, sondern der Trojaner ZBot.dkx, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen:

Betreff: „ Parcel “.

Dateianhang: „Bill.zip“

E-Mail-Text: „Good day, we have received a parcel for you, sent from France.

Dateigröße: 56.320 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\ntos.exe
Es werden folgende Dateien erstellt:

Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
%SYSDIR%\wnspoem\video.dll
%SYSDIR%\wnspoem\audio.dll
Folgender Registryschlüssel wird geändert:

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
Alter Wert:
"userinit"="%SYSDIR%\userinit.exe,"
Neuer Wert:
"userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"
Der folgende Port wird geöffnet:

svchost.exe an einem zufälligen TCP port
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Lovgate.Z


Verbreitung: *****

Schaden: *****

der Wurm Lovgate.Z ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Attached one Gift for u

Der Dateiname des Anhangs: enjoy.exe

Größe des Dateianhangs: 179.200 Bytes

E-Mail-Text: Send me your comments

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%SYSDIR%\WinDriver.exe
%SYSDIR%\Winexe.exe
%SYSDIR%\WinGate.exe
%SYSDIR%\RAVMOND.exe
%SYSDIR%\IEXPLORE.EXE
%TEMPDIR%\%zufällige Buchstabenkombination%
c:\SysBoot.EXE
%WINDIR%\SYSTRA.EXE
%SYSDIR%\WinHelp.exe
Es werden folgende Dateien erstellt:

c:\AUTORUN.INF
Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
[AUTORUN]
Open="C:\SysBoot.EXE" /StartExplorer
%SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:

[HKLM\software\microsoft\windows\currentversion\run \]
"WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
"Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
"WinHelp"="%SYSDIR%\WinHelp.exe"
"Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
[HKLM\software\microsoft\windows\currentversion\run services\]
"SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\software\microsoft\windows nt\currentversion\windows\]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"load"=""
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"run"="RAVMOND.exe"
Folgender Registryschlüssel wird geändert:

[HKCR\exefile\shell\open\command]
Alter Wert:
@="\"%1\" %*"
Neuer Wert:
@="%SYSDIR%\winexe.exe \"%1\" %*"
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Dldr.iBill.BD


Verbreitung: *****

Schaden: *****

der Trojaner Dldr.iBill.BD ist unterwegs und verbirgt sich hinter einer angeblichen Geldforderung. Nähere Informationen kann man aus dem Anhang der E-Mail entnehmen.

Das ist natürlich gelogen: Wer den Dateianhang öffnet, erhält keine Informationen über einen ausstehenden Betrag, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen:

Betreff: Auflistung der Kosten

E-Mail-Text: „Sehr geehrte Damen und Herren, Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt. Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Vattenfallabbuchung" angezeigt. Die Auflistung der Kosten finden Sie im Anhang in der

Dateianhang: Rechnung.zip

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\%zufällige Buchstabenkombination%.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Mudro.CY


Verbreitung: *****

Schaden: *****

der Trojaner Mudro.CY ist per E-Mail mit einer angeblichen Antwort von einer Kontakt-Anfrage bei Model-Begleitung unterwegs. Die Absenderin der E-Mail mit dem Vornamen „Dagmar“ würde sich gerne einfach mal nett ausführen lassen und einen schönen Abend verbringen.

Ein Bild von Dagmar könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Foto der jungen Dame angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „Hallo von Dagmar“

Dateianhang: Foto-Dagmar__JPG.com

E-Mail-Text: „Hallo von Dagmar

Deine Kontakt-Anfrage bei Model-Begleitung habe ich gelesen und möchte mich kurz vorstellen. Diskretion ist von meiner Seite absolut gegeben, ich mache das mal aus Neugier und Spaß, habe keine finanziellen Interessen. Möchte mich einfach mal nett ausführen lassen und einen schönen Abend verbringen.
Ich komme aus der Nähe des Ortes, den Du angegeben hast für ein Treffen. Ich bin 28 Jahre, Angestellte, schlank, lange schöne Haare, gepflegt, aufgeschlossen, offen, kontaktfreudig und sehr neugierig.

Hängt auch damit zusammen, dass ich zurzeit in keiner Beziehung bin und keinen Freund habe.

Ich schicke mal ein Bild von mir mit, als gepacktes Format. Wenn noch Interesse besteht, melde Dich, wenn Du mir Deine Tel. Nummer, oder Handy Nummer schreibst, dann kann ich mich nach der Arbeit gern mal bei Dir melden.
Bin schon gespannt, Gruß, Dagmar“

Dateigröße: 98.469 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Wird der Trojaner ausgeführt, erstellt er folgende Datei:

%TEMPDIR%\winnitask.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Tearec.AZ


Verbreitung: *****

Schaden: *****

der Wurm Tearec.AZ ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: You Must View This Videoclip!

Der Dateiname des Anhangs: New Video,zip

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: hello, i send the file. bye

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%WINDIR%\Rundll16.exe
%SYSDIR%\scanregw.exe
C:\WINZIP_TMP.exe
%SYSDIR%\Update.exe
%SYSDIR%\Winzip.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschrieben:
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

%alle Verzeichnisse%
Dateiendungen:

.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
Mit folgendem Inhalt:

DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:

%PROGRAM FILES%\DAP\*.dll
%PROGRAM FILES%\BearShare\*.dll

%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2003\*.exe

%PROGRAM FILES%\Symantec\
Common Files\Symantec Shared\*.*
%PROGRAM FILES%\
Norton AntiVirus\*.exe

%PROGRAM FILES%\
Alwil Software\Avast4\*.exe
%PROGRAM FILES%
\McAfee.com\VSO\*.exe

%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*

%PROGRAM FILES%\Trend Micro\
PC-cillin 2002\*.exe
%PROGRAM FILES%\Trend Micro\
Internet Security\*.exe

%PROGRAM FILES%\NavNT\*.exe
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.ppl

%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.exe
%PROGRAM FILES%\
Grisoft\AVG7\*.dll

%PROGRAM FILES%\
TREND MICRO\OfficeScan\*.dll
%PROGRAM FILES%\
Trend Micro\OfficeScan Client\*.exe

%PROGRAM FILES%\LimeWire\
LimeWire 4.2.6\LimeWire.jar
%PROGRAM FILES%\Morpheus\*.dll

%PROGRAM FILES%\CA\
eTrust EZ Armor\eTrust EZ Antivirus\*.*
%PROGRAM FILES%\Common Files\
symantec shared\*.*

%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal Pro\*.*

%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*

%PROGRAM FILES%\
McAfee.com\VSO\*.*
%PROGRAM FILES%\NavNT\*.*

%PROGRAM FILES%\
Norton AntiVirus\*.*
%PROGRAM FILES%\Panda Software\
Panda Antivirus 6.0\*.*

%PROGRAM FILES%\Panda
Software\Panda Antivirus Platinum\*.*
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*

%PROGRAM FILES%\
Trend Micro\Internet Security\*.*
%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.*

%PROGRAM FILES%\Trend Micro\
PC-cillin 2003 \*.*



Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"
Tipp: DLL und Registry entschlüsselt >> hier!

Die Werte der folgenden Registryschlüssel werden gelöscht:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CleanUp
SECUR
NPROTECT

ccApp
ScriptBlocking
MCUpdateExe

VirusScan Online
MCAgentExe
VSOCheckTask

McRegWiz
MPFExe
MSKAGENTEXE

MSKDetectorExe
McVsRte
PCClient.exe

PCCIOMON.exe
pccguide.exe
Pop3trap.exe

PccPfw
tmproxy
McAfeeVirusScanService

NAV Agent
PCCClient.exe
SSDPSRV

rtvscn95
defwatch
vptray

ScanInicio
APVXDWIN
KAVPersonal50

kaspersky
TM Outbreak Agent
AVG7_Run

AVG_CC
Avgserv9.exe
AVGW

AVG7_CC
AVG7_EMC
Vet Alert

VetTray
OfficeScanNT Monitor
avast!

PANDA
DownloadAccelerator
BearShare


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CleanUp
SECUR
NPROTECT

ccApp
ScriptBlocking
MCUpdateExe

VirusScan Online
MCAgentExe
VSOCheckTask

McRegWiz
MPFExe
MSKAGENTEXE

MSKDetectorExe
McVsRte
PCClient.exe

PCCIOMON.exe
pccguide.exe
Pop3trap.exe

PccPfw
tmproxy
McAfeeVirusScanService

NAV Agent
PCCClient.exe
SSDPSRV

rtvscn95
defwatch
vptray

ScanInicio
APVXDWIN
KAVPersonal50

kaspersky
TM Outbreak Agent
AVG7_Run

AVG_CC
Avgserv9.exe
AVGW

AVG7_CC
AVG7_EMC
Vet Alert

VetTray
OfficeScanNT Monitor
avast!

PANDA
DownloadAccelerator
BearShare


Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:

Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
SOFTWARE\Symantec\InstalledApps
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\Components\101
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
"WebView"=dword:00000000
"ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\CabinetState]
Neuer Wert:
"FullPath" = dword:00000001
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm McMaggot.AB


Verbreitung: *****

Schaden: *****

der Wurm McMaggot.AB ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen von Coca Cola, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Coca Cola is proud to accounce our new Promotion.

Dateianhang: coupon.zip

Größe des Dateianhangs: 449.024 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\vxworks.exe
Es wird folgende Datei erstellt und ausgeführt:

%SYSDIR%\qnx.exe
Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wind River Systems"="c:\windows\\system32\\vxworks.exe
Folgende Registryschlüssel werden geändert:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List
Neuer Wert: :\windows\\system32\\vxworks.exe"="c:\windows\\system32\\
vxworks.exe:*:Enabled:Explorer
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Tearec.AZF


Verbreitung: *****

Schaden: *****

der Wurm Tearec.AZF ist per E-Mail unterwegs und lockt mit einem angeblichen Video von Nicole Kidman. Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Video angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Nicole Kidman video - you must view this videoclip

Dateiname: Video_part.mim

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: Please see the video

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%WINDIR%\Rundll16.exe
%SYSDIR%\scanregw.exe
C:\WINZIP_TMP.exe
%SYSDIR%\Update.exe
%SYSDIR%\Winzip.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschrieben:
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

%alle Verzeichnisse%
Dateiendungen:

.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
Mit folgendem Inhalt:

DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:

%PROGRAM FILES%\DAP\*.dll
%PROGRAM FILES%\
LimeWire\LimeWire 4.2.6\LimeWire.jar

%PROGRAM FILES%\BearShare\*.dll
%PROGRAM FILES%\Morpheus\*.dll

%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\CA\
eTrust EZ Armor\eTrust EZ Antivirus\*.*

%PROGRAM FILES%\Trend Micro\
PC-cillin 2003\*.exe
%PROGRAM FILES%\
Common Files\symantec shared\*.*

%PROGRAM FILES%\Symantec\
Common Files\Symantec Shared\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.*

%PROGRAM FILES%\
Norton AntiVirus\*.exe
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal Pro\*.*

%PROGRAM FILES%\
Alwil Software\Avast4\*.exe
%PROGRAM FILES%\
McAfee.com\Agent\*.*

%PROGRAM FILES%\
McAfee.com\VSO\*.exe
%PROGRAM FILES%\
McAfee.com\shared\*.*

%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\VSO\*.*

%PROGRAM FILES%\
McAfee.com\shared\*.*
%PROGRAM FILES%\NavNT\*.*

%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.exe
%PROGRAM FILES%\
Norton AntiVirus\*.*

%PROGRAM FILES%\
Trend Micro\Internet Security\*.exe
%PROGRAM FILES%\
Panda Software\Panda Antivirus 6.0\*.*

%PROGRAM FILES%\NavNT\*.exe
%PROGRAM FILES%\Panda Software\
Panda Antivirus Platinum\*.*

%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.ppl
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*

%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.exe
%PROGRAM FILES%\
Trend Micro\Internet Security\*.*

%PROGRAM FILES%\Grisoft\AVG7\*.dll
%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.*

%PROGRAM FILES%\
TREND MICRO\OfficeScan\*.dll
%PROGRAM FILES%\
Trend Micro\PC-cillin 2003 \*.*

%PROGRAM FILES%\
Trend Micro\OfficeScan Client\*.exe



Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
PCCIOMON.exe
kaspersky

SECUR
pccguide.exe
TM Outbreak Agent

NPROTECT
Pop3trap.exe
AVG7_Run

ccApp
PccPfw
AVG_CC

ScriptBlocking
tmproxy
Avgserv9.exe

MCUpdateExe
McAfeeVirusScanService
AVGW

VirusScan Online
NAV Agent
AVG7_CC

MCAgentExe
PCCClient.exe
AVG7_EMC

VSOCheckTask
SSDPSRV
Vet Alert

McRegWiz
rtvscn95
VetTray

MPFExe
defwatch
OfficeScanNT Monitor

MSKAGENTEXE
vptray
avast!

MSKDetectorExe
ScanInicio
PANDA

McVsRte
APVXDWIN
DownloadAccelerator

PCClient.exe
KAVPersonal50
BearShare


HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
PCCIOMON.exe
kaspersky

SECUR
pccguide.exe
TM Outbreak Agent

NPROTECT
Pop3trap.exe
AVG7_Run

ccApp
PccPfw
AVG_CC

ScriptBlocking
tmproxy
Avgserv9.exe

MCUpdateExe
McAfeeVirusScanService
AVGW

VirusScan Online
NAV Agent
AVG7_CC

MCAgentExe
PCCClient.exe
AVG7_EMC

VSOCheckTask
SSDPSRV
Vet Alert

McRegWiz
rtvscn95
VetTray

MPFExe
defwatch
OfficeScanNT Monitor

MSKAGENTEXE
vptray
avast!

MSKDetectorExe
ScanInicio
PANDA

McVsRte
APVXDWIN
DownloadAccelerator

PCClient.exe
KAVPersonal50
BearShare


Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:

Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
SOFTWARE\Symantec\InstalledApps
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\Components\101
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
"WebView"=dword:00000000
"ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\CabinetState]
Neuer Wert:
"FullPath" = dword:00000001
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm BackNine.Z3


Verbreitung: *****

Schaden: *****

eine mit dem Wurm BackNine.Z3 verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn. Weitere Informationen könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über den Geldsegen, sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen:

Betreff: „You are a very lucky, read this mail!“

Dateianhang: „BigCashForYou.exe.txt“

E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“

Dateigröße: 20.992 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es werden folgende Dateien erstellt:

%SYSDIR%\recovery.exe
%SYSDIR%\kkk.exe
%SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Dldr.Stration.Gen


Verbreitung: *****

Schaden: *****

der Trojaner Dldr.Stration.Gen ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.

Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:
Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.

So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Ausgegebenen Anlass bitten Wir Euch eindringlich ,
Neuigkeiten nicht mehr komplett zum posten.

Es reicht ein Auszug und dann eine Quellenangabe, wobei letzteres wichtig ist.

Hier ein Beispielmuster. (http://www.spinnes-board.de/vb/showthread.php?t=145378)

Beiträge die Komplett zitiert und oder ohne Quellenangabe gepostet werden, müssen aus Urheberrechtlichen Gründen gelöscht werden.

Dies ist leider Notwendig damit wir alle noch lange Spaß an disem Forum haben.