-
VB.EX5 06.06.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm VB.EX5 ist zurzeit per E-Mail unterwegs und lockt wieder mal mit einer Nachricht für Sie im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen über ein Schreiben angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: hello
Dateianhang: thisfile %siebenstellige zufällige Buchstabenkombination%.
Größe des Dateianhangs: 133.632 Bytes
E-Mail-Text: please read again what i have written to you.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "%zufällige Buchstabenkombination%"="%SYSDIR%\%zufällige Buchstabenkombination%.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "%zufällige Buchstabenkombination%"="%WINDIR%\%zufällige Buchstabenkombination%.exe"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "avgnt"
• "drv_st_key"
• "norman_zanda"
• "MSMSG"
• "Winamp"
• "Word"
• "Driver"
• "WinUpdateSupervisor"
• "Task"
• "dago"
• "SMA_nya_Artika"
• "Putri_Indonesia"
• "BabelPath"
• "Alumni Smansa"
• "ViriSetup"
• "SMAN1_Pangkalpinang"
• "Putri_Bangka"
• "SysYuni"
• "SysDiaz"
• "SysRia"
• "Pluto"
• "DllHost"
• "SaTRio ADie X"
• "Tok-Cirrhatus"
• "AllMyBallance"
• "MomentEverComes"
• "TryingToSpeak"
• "YourUnintended"
• "YourUnintendes"
• "lexplorer"
• "dkernel"
• "Bron-Spizaetus"
• "ADie suka kamu"
• "winfix"
• "templog"
• "service"
• "Grogotix"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "avgnt"
• "drv_st_key"
• "norman_zanda"
• "MSMSG"
• "Winamp"
• "Word"
• "Driver"
• "WinUpdateSupervisor"
• "Task"
• "dago"
• "SMA_nya_Artika"
• "Putri_Indonesia"
• "BabelPath"
• "Alumni Smansa"
• "ViriSetup"
• "SMAN1_Pangkalpinang"
• "Putri_Bangka"
• "SysYuni"
• "SysDiaz"
• "SysRia"
• "Pluto"
• "DllHost"
• "SaTRio ADie X"
• "Tok-Cirrhatus"
• "AllMyBallance"
• "MomentEverComes"
• "TryingToSpeak"
• "YourUnintended"
• "YourUnintendes"
• "lexplorer"
• "dkernel"
• "Bron-Spizaetus"
• "ADie suka kamu"
• "winfix"
• "templog"
• "service"
• "Grogotix"
Folgende Registryschlüssel werden geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• "Shell"="Explorer.exe"
Neuer Wert:
• "Shell"="explorer.exe, "%WINDIR%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe""
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Alter Wert:
• "load"=""
Neuer Wert:
• "load"=""%WINDIR%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.com""
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• "Hidden"=%Einstellungen des Benutzers%
• "HideFileExt"=%Einstellungen des Benutzers%
• "ShowSuperHidden"=%Einstellungen des Benutzers%
Neuer Wert:
• "Hidden"=dword:00000000
• "HideFileExt"=dword:00000001
• "ShowSuperHidden"=dword:00000000
– [HKCR\scrfile]
Alter Wert:
• @="Screen Saver"
Neuer Wert:
• @="File Folder"
– [HKCR\exefile]
Alter Wert:
• @="Application"
Neuer Wert:
• @="File Folder"
– [HKLM\SOFTWARE\Classes\exefile]
Alter Wert:
• @="Application"
Neuer Wert:
• @="File Folder"
Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s]
Alter Wert:
• "Start"=%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\
Folder\SuperHidden]
Alter Wert:
• "UncheckedValue"=%Einstellungen des Benutzers%
Neuer Wert:
• "UncheckedValue"=dword:00000000
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Alter Wert:
• "DisableConfig"=%Einstellungen des Benutzers%
• "DisableSR"=%Einstellungen des Benutzers%
Neuer Wert:
• "DisableConfig"=dword:00000001
• "DisableSR"=dword:00000001
– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
Alter Wert:
• "AlternateShell"="cmd.exe"
Neuer Wert:
• "AlternateShell"="%zufällige Buchstabenkombination%.exe"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\msconfig.exe]
Neuer Wert:
• "debugger"="%WINDIR%\notepad.exe"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedit.exe]
Neuer Wert:
• "debugger"="%WINDIR%\%zufällige Buchstabenkombination%\regedit.cmd"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\rstrui.exe]
Neuer Wert:
• "debugger"="%WINDIR%\notepad.exe"
Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut.
Es wird versucht folgende Information zu klauen:
– Nachdem Tastaturanschläge welche mit einer der folgenden Zeichenketten übereinstimmen gedrückt wurden wird eine Protokollfunktion gestartet:
• Friendster
• yahoo
• gmail
• login
• bank
• hotmail
– Aufgezeichnet wird:
• Tastaturanschläge
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Drover 07.06.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Drover ist per E-Mail unterwegs. Der digitale Schädling kommt gleich mit mehreren E-Mail-Varianten daher.
Mit einem Geschenk über 1.000 Euro von der Postbank bis zu kostenlosen Tickets lockt der Wurm den Anhang zu öffnen.
Im Anhang befinden sich dann wie immer keine weiteren Informationen, sondern der Wurm lauert darauf, das betreffende System zu kapern.
Die E-Mail hat folgendes Aussehen
Betreff:
• Euro von der Postbank
• Geld von Postbank
• GEWONNEN!
• Guten Tag! Hier sind Ihre Tickets!
• Sie haben Tickets gewonnen!
Dateianhang:
• akte
• gewinn
• Kontoauszug
• tickets
E-Mail-Text: Unterschiedlicher Text.
Dateigröße: 46.626 Bytes.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows Systemverzeichnis:
– %SYSDIR%\mszsrn32.dll
Folgende Einträge in der Windows Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
mszsrn32]
• "DllName"="c:\windows\\System32\\mszsrn32.dll"
• "Startup"="Startup"
• "Asynchronous"=dword:00000001
• "Impersonate"=dword:00000000
• "Type"=dword:00000002
• "SystemId"=dword:f5742799
• "LastAck"=dword:00000036
• "NoScan"=dword:00000001
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
BackNine.Z13 10.06.2010
Verbreitung:--->*****
Schaden:------>*****
Eine mit einem Wurm verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn.
Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im Anhang entnehmen.
In dem Anhang steckt natürlich keine Informationen über den Geldsegen, sondern der Wurm selbst,
der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „You are a very lucky, read this mail!“.
Dateianhang: „BigCashForYou.exe.txt“
E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“
Virus: BackNine.Z13
Virustyp: Wurm
Dateigröße: 20.992 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Es werden folgende Dateien erstellt: • %SYSDIR%\recovery.exe • %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Bagle.FN6 14.06.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Bagle.FN6 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail,
die angeblich ein Fax enthalten soll. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über ein Fax.
Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Fax Message
Dateianhang: Message is in attach
Größe des Dateianhangs: 20.000 Bytes
E-Mail-Text: Unterschiedlicher Text in englischer Sprache.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen
Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe
Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Netsky.D.Dcm 15.06.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Netsky.D.Dcm verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen.
Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Re: Approved; Re: Details; Re: Document; Re: Excel file; Re: Hello; Re: Here; Re: Here is the document; Re: Hi; Re: My details; Re: Re: Document;
Dateianhang: all_document.pif; application.pif; document.pif; document_4351.pif; document_excel.pif; document_full.pif; document_word.pif; message_details.pif;
Größe des Dateianhangs: 17.424 Bytes.
E-Mail-Text:
• Your file is attached.
• Please read the attached file.
• Please have a look at the attached file.
• See the attached file for details.
• Here is the file.
• Your document is attached.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host
Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Sober 18.06.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst,
der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „Ihr Account wurde eingerichtet!“.
Dateianhang: Service.pdf.exe
E-Mail-Text: „Danke dass Sie sich für uns entschieden haben.“
Virus: Sober
Virustyp: Wurm
Dateigröße: 89.274 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe
Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
iBill 29.06.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner iBill ist wieder per E-Mails unterwegs. Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu verleiten,
die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt natürlich keine Daten von einer Abrechnung, sondern der Trojaner selbst,
der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „Abrechnung 213851614859“.
Dateianhang: Unterschiedlich
E-Mail-Text: Unterschiedlich
Dateigröße: Unterschiedlich
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Folgender Schlüssel wird in der Registry angelegt, damit die DLL bei jedem Windows-Start automatisch geladen wird:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive Setup Installed Components{8B75D81C-C498-4935-C5D1-43AA4DB90836}
Nach dem Start der DLL nimmt diese Kontakt mit zwei Servern in China und in den USA auf und wartet auf Anweisungen.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Sober.Q 08.07.2010
Verbreitung:--->*****
Schaden:------>*****
Seit gestern Abend ist eine neue Sober-Variante unterwegs. Sie wurde heute Nacht in deutscher und englischer Sprache per E-Mail an viele Anwender in ganz Deutschland verschickt.
Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung "KlassenFoto.zip" bzw. "pword_change.zip", die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q ein Meldungsfenster mit dem Text "Error in packed file" und "CRC header must be $7ff8".
Anschließend installiert sich der Wurm im betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: "Fwd: Klassentreffen" oder "Your new Password"
Dateianhang: ZIP-Archiv mit der Bezeichnung "KlassenFoto.zip" bzw. "pword_change.zip"
E-Mail-Text:
"ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)."
oder
“Your password was successfully changed! Please see the attached file for detailed information.”
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Wird TR/Bagle.CQ ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx (Dateigröße: 0 Bytes)
Die 0 Bytes großen Dateien sind Steuerdateien, welche ältere Varianten des Worm/Sober deaktivieren.
Folgende Einträge werden der Windows Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"
Der Wurm durchsucht anschließend Dateien nach E-Mail-Adressen, an die er sich mit Hilfe seiner eigenen SMTP-Engine versendet.
Ziel ist es Postfächer mit E-Mails zu verstopfen und E-Mail-Server lahm zu legen.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Sober.AB11 15.07.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Sober.AB11 ist wieder per E-Mails unterwegs.
Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto,
sondern der Wurm selbst, der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „Ihr Account wurde eingerichtet!“.
Dateianhang: Service.pdf.exe
E-Mail-Text: „ Danke das Sie sich für uns entschieden haben.“
Dateigröße: 89.274 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe
Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Klez.E7 17.07.2010
Verbreitung:--->*****
Schaden:------>*****
Zurzeit werden wieder E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang stecken natürlich keine Informationen über den Abbuchungsauftrag,
sondern der heimtückische Wurm Klez.E7, der das betreffende System infizieren will.
Die E-Mail hat folgendes Aussehen
Betreff: Vertrag
Dateianhang: Rechnung.rar
Größe des Dateianhangs: 65 KByte.
E-Mail-Text: „Sehr geehrte Kundin, sehr geehrte Kunde, Ihr Abbuchungsauftrag wurde erfüllt. Sie finden die Details zu der Rechnung im Anhang.“
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Es werden folgende Dateien erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C
Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Lovgate.W 19.07.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Lovgate.W ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Attached one Gift for u.
Der Dateiname des Anhangs: enjoy.exe
Größe des Dateianhangs: 179.200 Bytes
E-Mail-Text: Send me your comments.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\WinDriver.exe
• %SYSDIR%\Winexe.exe
• %SYSDIR%\WinGate.exe
• %SYSDIR%\RAVMOND.exe
• %SYSDIR%\IEXPLORE.EXE
• %TEMPDIR%\%zufällige Buchstabenkombination%
• c:\SysBoot.EXE
• %WINDIR%\SYSTRA.EXE
• %SYSDIR%\WinHelp.exe
Es werden folgende Dateien erstellt:
– c:\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• [AUTORUN]
Open="C:\SysBoot.EXE" /StartExplorer
– %SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
– [HKLM\software\microsoft\windows\currentversion\run \]
• "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
• "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
• "WinHelp"="%SYSDIR%\WinHelp.exe"
• "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
– [HKLM\software\microsoft\windows\currentversion\run services\]
• "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\software\microsoft\windows nt\currentversion\windows\]
• "DebugOptions"="2048"
• "Documents"=""
• "DosPrint"="no"
• "load"=""
• "NetMessage"="no"
• "NullPort"="None"
• "Programs"="com exe bat pif cmd"
• "run"="RAVMOND.exe"
Folgender Registryschlüssel wird geändert:
– [HKCR\exefile\shell\open\command]
Alter Wert:
• @="\"%1\" %*"
Neuer Wert:
• @="%SYSDIR%\winexe.exe \"%1\" %*"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Netsky.HB 21.07.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Netsky.HB ist zurzeit unterwegs und lockt unter anderem mit einer E-Mail im Anhang, die nicht zugestellt werden konnte.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch keine fehlgeleitete E-Mail angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff – eine der folgenden:
• Mail Delivery (failure);
• my application;
• News;
• Notice again;
• Postcard;
• Private document;
• Protected Mail System;
Dateianhang – der Dateiname des Anhangs ist einer der folgenden:
• document_all
• text
• message
• data
• excel document
• word document
• letter
• information
• details
• file
• document
• important
• approved
Die Dateierweiterung ist eine der folgenden:
• exe
• pif
• scr
• zip
Größe des Dateianhangs: Ca. 31.000 Bytes.
E-Mail-Text:
• Please see the attached file for details
• Please read the attached file!
• Your document is attached.
• Please read the document.
• Your file is attached.
• Your document is attached.
• Please confirm the document.
• Please read the important document.
• See the file.
• Requested file.
• Authentication required.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\FVProtect.exe
Es werden folgende Dateien erstellt:
– Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
• %WINDIR%\zipped.tmp
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Norton Antivirus AV="%WINDIR%\FVProtect.exe"
Die Werte des folgenden Registryschlüssel werden gelöscht:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Explorer
• system
• msgsvr32
• winupd.exe
• direct.exe
• jijbl
• Video
• service
• DELETE ME
• Sentry
• Taskmon
• Windows Services Host
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Explorer
• au.exe
• direct.exe
• d3dupdate.exe
• OLE
• gouday.exe
• rate.exe
• Taskmon
• Windows Services Host
• sysmon.exe
• srate.exe
• ssate.exe
• winupd.exe
Die Malware verfügt über eine eigene SMTP-Engine um E-Mails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Zafi.Z 23.07.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Zafi.Z verstopft zurzeit die Postfächer. Angeblich soll im Anhang der E-Mail eine Grußkarte gespeichert sein.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Grüße mitgeteilt, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Flashcard fuer Dich!“ oder „Grußkarte fuer Dich!“
Dateianhang: link.flashcard.de.viewcard34.php.2672aB.pif
Größe des Dateianhangs: 12.800 Bytes.
E-Mail-Text: „Hallo! %Benutzernamen der Emailadresse des Absenders% hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://xxx/ Viel Spass beim Lesen wuenscht Ihnen ihr...“
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe
• %SYSDIR%\%zufällige Buchstabenkombination%.dll
• %zufällig ausgewähltes Verzeichnis%\%existierende Datei oder Verzeichnis%_update.exe
Es wird versucht folgende Datei auszuführen:
• %PROGRAM FILES%\Internet Explorer\iexplore.exe unter Zuhilfenahme folgender Kommandozeilen-Parameter: %besuchte URL%
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• _Hazafibb = %SYSDIR%\%zufällige Buchstabenkombination%.exe
Folgender weiterer Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\_Hazafibb]
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Traxgy.B5 27.07.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer.
Im Anhang befindet sich ein angebliches Dokument. Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text
aus chinesischen Schriftzeichen bestehen. Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet,
stattdessen installiert sich der Wurm auf dem System.
Die E-Mail hat folgendes Aussehen
Betreff: %chinesischer Text%
Dateianhang: Document
Die Dateierweiterung ist eine der folgenden: .exe
Größe des Dateianhangs: 57.344 Bytes
E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• A:\Explorer.EXE
• A:\WINDOWS.EXE
• %Laufwerk%:\WINDOWS.EXE
• %Laufwerk%:\ghost.bat
• %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe
Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com
– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com
– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com
– An: %WINDIR%\help\ Mit einem der folgenden Namen:
• \%Hexadezimale Zahl%.com
Es werden folgende Dateien erstellt:
– Nicht virulente Datei:
• %alle Verzeichnisse%\desktop.ini
– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
– %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
– %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com
Der Wert des folgenden Registry-Schlüssel wird gelöscht:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• KaV300XP
Folgende Registry-Schlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Alter Wert:
• fullpath = %Einstellungen des Benutzers%
Neuer Wert:
• fullpath = dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• HideFileExt = %Einstellungen des Benutzers%
• Hidden = %Einstellungen des Benutzers%
Neuer Wert:
• HideFileExt = dword:00000001
• Hidden = dword:00000000
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Komodo 29.07.2010
Verbreitung:--->*****
Schaden:------>*****
Zurzeit überschwemmen E-Mails mit dem Wurm Komodo im Anhang viele Postfächer.
Wird der im Anhang befindliche Wurm entpackt und aktiviert, kapert das Schadprogramm den PC.
Anschließend versucht der Wurm alle Sicherheitsprogramme wie Virenscanner und Firewall zu deaktivieren.
Zusätzlich werden die Sicherheitseinstellungen im Browser heruntergesetzt. Dann lädt der Wurm Dateien von einem Server
nach und verschickt sich weiter über die auf dem System gefundenen E-Mail-Adressen.
Folgende Dateien durchsucht der Wurm nach E-Mail-Adressen: .INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP; .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT.
Die E-Mail hat folgendes Aussehen
Betreff: "My Photo on Paris"
Dateianhang: "Picture.zip".
Größe des Dateianhangs: 48.829 Bytes.
E-Mail-Text: Unterschiedlicher Text.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Es werden folgende Dateien erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C
Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
