-
Paypal.TR 15.09.2010
Verbreitung:--->*****
Schaden:------>*****
„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen.
Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet,
erhält man jedoch keine Informationen über die Forderung. Stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Rechnung“ oder „Lastschrift“
E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe
Es wird folgende Datei erstellt:
– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer. exe"
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Traxgy.B5 19.09.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer.
Im Anhang befindet sich ein angebliches Dokument.
Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen.
Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet,
stattdessen installiert sich der Wurm auf dem System.
Die E-Mail hat folgendes Aussehen
Betreff: %chinesischer Text%
Dateianhang: Document
Die Dateierweiterung ist eine der folgenden: .exe
Größe des Dateianhangs: 57.344 Bytes
E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• A:\Explorer.EXE
• A:\WINDOWS.EXE
• %Laufwerk%:\WINDOWS.EXE
• %Laufwerk%:\ghost.bat
• %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe
Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com
– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com
– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com
– An: %WINDIR%\help\ Mit einem der folgenden Namen:
• \%Hexadezimale Zahl%.com
Es werden folgende Dateien erstellt:
– Nicht virulente Datei:
• %alle Verzeichnisse%\desktop.ini
– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
– %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
– %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com
Der Wert des folgenden Registry-Schlüssels wird gelöscht:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• KaV300XP
Folgende Registry-Schlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Alter Wert:
• fullpath = %Einstellungen des Benutzers%
Neuer Wert:
• fullpath = dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• HideFileExt = %Einstellungen des Benutzers%
• Hidden = %Einstellungen des Benutzers%
Neuer Wert:
• HideFileExt = dword:00000001
• Hidden = dword:00000000
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Trojan.Sasfis!gen3
Trojan.Sasfis!gen3
Discovered: September 18, 2010 Updated: September 20, 2010 2:12:23 AM Type: Trojan, Virus Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Trojan.Sasfis!gen3 is a heuristic detection used to detect threats associated with the Trojan.Sasfis and Trojan.Bamital families.
Antivirus Protection Dates
* Initial Rapid Release version September 18, 2010 revision 008
* Latest Rapid Release version September 18, 2010 revision 008
* Initial Daily Certified version pending
* Latest Daily Certified version pending
* Initial Weekly Certified release date September 22, 2010
Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.
Threat Assessment
Wild
* Wild Level: Low
* Number of Infections: 0 - 49
* Number of Sites: 0 - 2
* Geographical Distribution: Low
* Threat Containment: Easy
* Removal: Easy
Damage
* Damage Level: Medium
* Payload: Downloads and executes files.
Distribution
* Distribution Level: Low
-
Badware12 24.09.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Badware12 ist unterwegs und versucht Anwendern ein falsches Microsoft Office-Update vorzugaukeln.
Die E-Mail ist angeblich vom Onlinedienst MSN und enthält ein Update für Office 2007. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt,
erhält kein Update, sondern einen gefährlichen Trojaner untergeschoben.
Die E-Mail hat folgendes Aussehen
Betreff: „Update for Office 2007 only“
E-Mail-Text: unterschiedlicher Text
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Netsky.D 02.10.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Netsky.D verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Here is the document
Dateianhang: yours.pif
Größe des Dateianhangs: 17.424 Bytes
E-Mail-Text: Your document is attached
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host
Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
McMaggot.AB 19.10.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm McMaggot.AB ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen von Coca Cola, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Coca Cola is proud to accounce our new Promotion.
Dateianhang: coupon.zip
Größe des Dateianhangs: 449.024 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vxworks.exe
Es wird folgende Datei erstellt und ausgeführt:
– %SYSDIR%\qnx.exe
Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wind River Systems"="c:\windows\\system32\\vxworks.exe
Folgende Registryschlüssel werden geändert:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List
Neuer Wert: :\windows\\system32\\vxworks.exe"="c:\windows\\sys tem32\\vxworks.exe:*:Enabled:Explorer
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Tearec.AZF 22.10.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Tearec.AZF ist per E-Mail unterwegs und lockt mit einem angeblichen Video von Nicole Kidman.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Video angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Nicole Kidman video - you must view this videoclip
Dateiname: Video_part.mim
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: Please see the video
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
– %alle Verzeichnisse%
Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX
Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
BackNine.Z3 23.10.2010
Verbreitung:--->*****
Schaden:------>*****
Eine mit dem Wurm BackNine.Z3 verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn.
Weitere Informationen könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über den Geldsegen,
sondern der Wurm selbst, der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „You are a very lucky, read this mail!“.
Dateianhang: „BigCashForYou.exe.txt“
E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“
Dateigröße: 20.992 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe
• %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Bagle.FN7 03.11.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Bagle.FN7 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail,
die angeblich ein Fax enthalten soll. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über ein Fax. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Fax Message
Dateianhang: Message is in attach
Größe des Dateianhangs: 20.000 Bytes
E-Mail-Text: Unterschiedlicher Text in englischer Sprache.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen
Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe
Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Warney.S 09.11.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Warney.S verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen.
Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Wichtige Nachricht für Sie im Anhang
Dateianhang: info.pdf.exe
Größe des Dateianhangs: 64.721 Bytes
E-Mail-Text: Unterschiedlicher Text
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host
Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Dldr.Tiny8 12.11.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Dldr.Tiny8 ist per E-Mail unterwegs und lockt mit einem angeblichen Paket das von UPS versendet wird.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Ihr UPS Paket N5277746143
Größe des Dateianhangs: 2.139 Bytes
E-Mail-Text unterschiedlich – meist: Ihr UPS Paket N5277746143. Weitere
Informationen zum Versandstatus des Pakets finden Sie im Anhang.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird versucht die folgenden Dateien herunter zuladen:
– Die URL ist folgende:
• http://www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
– Die URL ist folgende:
• http://www.abetterstart.com/c/2000/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Crypt.XPACK.Gen 17.11.2010
Verbreitung: --->*****
Schaden:------>*****
Der Trojaner Crypt.XPACK.Gen ist wieder per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben.
Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: You have received an eCard
E-Mail-Text: Unterschiedlicher Text in englischer Sprache.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip
Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Mytob.PK 19.11.2010
Verbreitung:--->*****
Schaden:--->*****
Der Wurm Mytob.PK ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die behauptet,
der aktuelle E-Mail-Zugang wäre vom Provider deaktiviert worden. Nähere Angaben zu dieser
E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über den deaktivierten E-Mail-Account.
Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Email Account Suspension
Dateianhang: account-details
Größe des Dateianhangs: 56.832 Bytes.
E-Mail-Text: „Dear user %username from receivers email address%”.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\rnathchk.exe
Folgende Einträge in der Windows Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"
Folgende Registry-Schlüssel werden hinzugefügt:
– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Chir.D 31.01.2011
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Chir.D ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die einen Besuch des Absenders ankündigt.
Nähere Angaben zu dieser Person können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den Gast.
Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: %Benutzernamen der Emailadresse des Absenders% is coming!
Dateianhang: PP.exe
E-Mail-Text: Unterschiedlicher Text – der Body kann auch leer sein.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe
Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Wurm Mytob.A
Verbreitung: *****
Schaden: *****
zurzeit ist der Wurm Mytob.A wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen:
Betreff: „Mail Delivery System”
Dateianhang: „body.zip.exe“
Größe des Dateianhangs: 41.824 Bytes
E-Mail-Text: „Mail transaction failed. Partial message is available.“
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System:
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
%SYSDIR%\taskgmrs.exe
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr
C:\hellmsn.exe
Folgende Einträge in die Registry werden angelegt:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINTASK"="taskgmr.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
"WINTASK"="taskgmr.exe"
[HKCU\Software\Microsoft\OLE]
"WINTASK"="taskgmr.exe"
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
"WINTASK"="taskgmr.exe"
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!