-
Crypt.XPACK.Gen 12.02.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Crypt.XPACK.Gen ist per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zum Valentinstag zu haben.
Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße.
Stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: You have received an eCard
E-Mail-Text: Unterschiedlicher Text in englischer Sprache.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip
Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Sober.F 15.02.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Sober.F ist wieder per E-Mail unterwegs. In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind.
Nähere Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Warnung!
Dateianhang: Schwarze-Liste
Größe des Dateianhangs: 42.496 Bytes
E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Wörter%.exe
%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32
Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Mytob.CR5 17.02.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Mytob.CR5 ist wieder per E-Mail unterwegs. Der Trojaner versteckt sich im Anhang der E-Mail,
die Bankdokumente enthalten soll. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein
Informationen von einer Bank präsentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Here are your banks documents”
Dateianhang: „document.txt.exe“.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird folgende Datei erstellt:
– C:\hellmsn.exe
Die folgenden Registryschlüssel werden hinzugefügt:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
• "WsTask" = "task32.exe"
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"
– HKCU\Software\Microsoft\OLE
• "WsTask" = "task32.exe"
– HKLM\SOFTWARE\Microsoft\Ole
• "WsTask" = "task32.exe"
– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Sober.B 19.02.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Sober.B lockt zurzeit mit angeblich verbilligten Eintrittskarten für das Fußball-Event in Südafrika.
Im Anhang der E-Mail befinden sich natürlich keine Informationen über die Eintrittskarten zum Schnäppchenpreis,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Reduced in price: Tickets for the world championship 2010 in South Africa”
Dateianhang: „Tickets.txt.exe“.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe
Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Tearec.AI 22.02.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Tearec.AI ist zurzeit wieder per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen:
Betreff: You Must View
Dateianhang: Clipe.zip.exe
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: See my photos. It's Free :)
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
– %alle Verzeichnisse%
Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX
Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components1
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
ZBot.R10 23.02.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner ZBot.R10 ist per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen
Mahnbescheid, weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Lastschrift
Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe
Größe des Dateianhangs: unterschiedlich.
E-Mail-Text: unterschiedlich.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe
Folgende Datei wird gelöscht:
• %cookies%\*.*
Es werden folgende Dateien erstellt:
– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll
Folgende Registryschlüssel werden geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%
Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Ntech8 28.02.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Ntech8 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem
betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Versprochenes Spiel im Anhang.
Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.
Größe des Dateianhangs: 20.992 Bytes.
E-Mail-Text: Unterschiedlicher Text.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A
– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A
Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A
Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
ActiveService
• runtime
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
ActiveService
• runtime2
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Tearec.PB3 02.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Tearec.PB3 ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Video von Paris Hilton und Britney Spears.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Video angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Britney and Paris video. You Must View This Videoclip!
Dateiname des Anhangs: Video_part.mim;
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: Please see the file.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System:
Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
– %alle Verzeichnisse%
Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX
Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
TR/Dldr.Agent 04.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner TR/Dldr.Agent ist zurzeit per E-Mail unterwegs und lockt mit einer angeblichen Rechnung von eBay.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen über eine offene Rechnung präsentiert,
stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Von: kundensupport@ebay.de
Betreff: 7 Tage bis Ihre Kontosperrung
Dateianhang: Ebay-Rechnung.pdf.exe
Dateigröße: 11.213 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System:
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe
Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"
Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Dldr.Tiny6 05.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Dldr.Tiny6 ist per E-Mail unterwegs und lockt mit einem angeblichen Paket das von UPS versendet wird.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Ihr UPS Paket N5277746143
Größe des Dateianhangs: 2.139 Bytes
E-Mail-Text unterschiedlich – meist: Ihr UPS Paket N5277746143. Weitere Informationen zum Versandstatus des Pakets finden Sie im Anhang.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird versucht die folgenden Dateien herunter zuladen:
– Die URL ist folgende:
• http://www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
– Die URL ist folgende:
• http://www.abetterstart.com/c/2000/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Mytob.BW9 07.03.2010
Verbreitung:--->*****
Schaden:------>*****
Ein als Strafanzeige der Kripo getarnter Wurm verbreitet sich wieder mit der alten Masche per E-Mail: Der Empfänger sei angeblich beim Herunterladen von Filmen,
Software und MP3 erwischt und der Inhalt seines PCs als Beweismittel sichergestellt worden. Eine entsprechende Strafanzeige, so der Mail-Text weiter,
„wird Ihnen in den nächsten Tagen schriftlich zugestellt“. Details zu den gesammelten Beweisen sollen sich im Anhang befinden –
doch lauert dort nicht der Staatsanwalt, sondern der Wurm Mytob.BW9.
Die E-Mail hat folgendes Aussehen
Betreff: „Ermittlungsverfahren wurde eingeleitet“
Dateianhang: „text.pdf.exe“
E-Mail-Text: „ Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 62.36.148.*** erfasst wurde. Der Inhalt Ihres PCs wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet. Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.”
Dateigröße: 53.248 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System:
Wird der Wurm ausgeführt, erstellt er folgende Datei:
• %SYSDIR%w32NTupdt.exe
Folgende Einträge werden in der Registry angelegt:
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces
• "A New Windows Updater"="w32NTupdt.exe"
– HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"
– HKCUSoftwareMicrosoftOLE
• "A New Windows Updater"="w32NTupdt.exe"
– HKLMSOFTWAREMicrosoftOle
• "A New Windows Updater"="w32NTupdt.exe"
– HKCUSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"
– HKLMSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Crypt.XPACK.Gen 11.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Crypt.XPACK.Gen ist wieder per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben.
Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: You have received an eCard
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip
Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Mytob.PK 13.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Mytob.PK ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die behauptet, der aktuelle E-Mail-Zugang wäre vom Provider
deaktiviert worden. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den deaktivierten
E-Mail-Account. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Email Account Suspension
Dateianhang: account-details
Größe des Dateianhangs: 56.832 Bytes.
E-Mail-Text: „Dear user %username from receivers email address%”.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\rnathchk.exe
Folgende Einträge in der Windows Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"
Folgende Registry-Schlüssel werden hinzugefügt:
– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
MuJoin.AG 14.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner MuJoin.AG ist wieder per E-Mail mit einer angeblichen Antwort von einer Kontaktanzeige bei single.de unterwegs.
Die Absenderin der E-Mail mit dem Vornamen „Gabi“ behauptet, schon seit längerer Zeit nach netten Kontakten für Freizeit und Hobbys zu suchen.
Ein Bild von Gabi könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Foto angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Hallo von Gabi“.
Dateianhang: Foto-Gabi.pdf.exe
Größe des Dateianhangs: 106.464 Bytes.
E-Mail-Text: Unterschiedlicher Text
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird folgende Datei erstellt:
– %home%\Local Settings\Temp.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Tearec.A 19.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Tearec.A ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Bildern im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: eBook.pdf
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: photo, photo2, photo3
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
– %alle Verzeichnisse%
Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX
Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Crypt.XPACK.Gen3 23.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Crypt.XPACK.Gen3 ist per E-Mail unterwegs. Im Mittelpunkt steht ein angebliches Videos mit der beliebten Schauspielerin Angelina Jolie.
Der Trojaner versteckt sich im Anhang der E-Mail, die ein Video des Hollywoodstars enthalten soll. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man jedoch kein Video präsentiert, stattdessen installiert sich der Trojaner auf dem betreffenden System und nimmt Kontakt mit einem Server auf.
Anschließend versucht der Trojaner Zugangsdaten für Onlinebanking und Kreditkartennummern auszuspähen.
Die E-Mail hat folgendes Aussehen
Betreff: „Angelina Jolie Free Video”
Dateianhang: „video- anjelina.avi.exe“.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip
Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
iBill 25.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner iBill ist wieder per E-Mails unterwegs. Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu verleiten,
die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt natürlich keine Daten von einer Abrechnung, sondern der Trojaner selbst,
der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „Abrechnung 213851614859“.
Dateianhang: Unterschiedlich
E-Mail-Text: Unterschiedlich
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Folgender Schlüssel wird in der Registry angelegt, damit die DLL bei jedem Windows-Start automatisch geladen wird:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive Setup Installed Components{8B75D81C-C498-4935-C5D1-43AA4DB90836}
Nach dem Start der DLL nimmt diese Kontakt mit zwei Servern in China und in den USA auf und wartet auf Anweisungen.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Paypal.D 26.03.2010
Verbreitung:--->*****
Schaden:------>*****
„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen.
Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet,
erhält man jedoch keine Informationen über die Rechnung. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Rechnung“ oder „Lastschrift“
E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe
Es wird folgende Datei erstellt:
– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer. exe"
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Dldr.Stration.Gen2 29.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Dldr.Stration.Gen2 ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem
betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Ntech.CS 31.03.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Ntech.CS ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Hot game. You ask me about this game, Here is it.
Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.
Größe des Dateianhangs: 20.992 Bytes.
E-Mail-Text: Amusing game... In your attachemnt.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A
– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A
Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A
Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV\0000\Control\
ActiveService
• Secdrv
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME \0000\Control\
ActiveService
• runtime
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2\0000\Control\
ActiveService
• runtime2
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
TR/Agent.249856.B 01.04.2010
Verbreitung:--->*****
Schaden:------>*****
Pünktlich zum ersten April meldet sich der berüchtigte Sturmwurm mit einer Welle infizierter E-Mails zurück.
In den Nachrichten versprechen die Hintermänner witzige Geschichten und skurrile Aprilscherze.
Nach einem Doppelklick auf den in der E-Mail befindlichen Link, erhält man jedoch keine lustigen Anekdoten,
stattdessen versucht sich der Trojaner TR/Agent.249856.B auf dem betreffenden System zu installieren.
Die E-Mail hat folgendes Aussehen
Betreff: „Happy April's Fool Day” oder „Surprise! The joke's on you”.
Größe des Trojaners: ca. 200.000 Bytes.
E-Mail-Text: Unterschiedlicher Text.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe
Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"
Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
BackNine.Z12 03.04.2010
Verbreitung:--->*****
Schaden:------>*****
Eine mit dem Wurm BackNine.Z12 verseuchte E-Mail lockt zum
Wiederholten mahle mit einem angeblichen Geld-Gewinn.
Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im
Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen
über den Gewinn, sondern der Wurm selbst, der das betreffende System
dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „You are a very lucky, read this mail!“.
E-Mail-Text: „Hi, you won a big amount of money!!!
If you want to know more look at the attachment!“
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es werden folgende Dateien erstellt: • %SYSDIR%\recovery.exe •
%SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach
einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Domwoot.F 06.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Domwoot.F ist per E-Mail unterwegs und verstopft die Postfächer. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse letzte Woche als Spam-Schleuder
verwendet wurde und deshalb der E-Mail-Account kurzfristig gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen und Instruktionen die angedrohte Sperrung des E-Mail-Accounts zu verhindern,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „We have suspended your account”
Dateianhang: readme.zip.exe
Größe des Dateianhangs: 86.681 Bytes
E-Mail-Text:
„We have temporarily suspended your email account %Emailadresse des Empfängers%.
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week.”
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\svchosts.exe
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• \"Win32 Driver\"=\"svchosts.exe\"
– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
• \"Type\"=dword:00000020
• \"Start\"=dword:00000004
• \"ErrorControl\"=dword:00000001
• \"ImagePath\"=hex(2):\"%SYSDIR%\svchosts.exe\" -netsvcs
• \"DisplayName\"=\"Win32 Driver\"
• \"ObjectName\"=\"LocalSystem\"
• \"FailureActions\"=hex:%Hex Werte%
• \"DeleteFlag\"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Securi ty]
• \"Security\"=hex:%Hex Werte%
– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
• \"0\"=\"Root\\LEGACY_SHIT\\0000\"
• \"Count\"=dword:00000001
• \"NextInstance\"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T]
• \"NextInstance\"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000]
• \"Service\"=\"shit\"
• \"Legacy\"=dword:00000001
• \"ConfigFlags\"=dword:00000000
• \"Class\"=\"LegacyDriver\"
• \"ClassGUID\"=\"{8ECC055D-047F-11D1-A537-0000F8753ED1}\"
• \"DeviceDesc\"=\"Win32 Driver\"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000\Control]
• \"*NewlyCreated*\"=dword:00000000
• \"ActiveService\"=\"shit\"
Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:
• wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm
Es wird versucht folgende Information zu klauen:
– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
• :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
:!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
login=; password=; passwd=; PAYPAL; paypal
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Dldr.iBill.X 12.04.2010
Verbreitung:--->*****
Schaden:------>*****
Zurzeit werden E-Mails versandt, die angeblich von Amazon stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag für ein Netbook von Sony hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
n dem Anhang steckt natürlich keine Rechnung, sondern der heimtückische Trojaner Dldr.iBill.X,
der das betreffende System infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „Ihre Bestellung bei Amazon.de“.
Dateianhang: „Rechnung.pdf.exe“
E-Mail-Text: Unterschiedlicher Text
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe
Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Badware11 13.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Badware11 ist unterwegs und versucht Anwendern ein falsches Windows-Update vorzugaukeln.
Die E-Mail ist angeblich von Microsofts Onlinedienst MSN und enthält ein kritisches Sicherheits-Update.
Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update,
sondern einen gefährlichen Trojaner untergeschoben.
Die E-Mail hat folgendes Aussehen
Betreff: „Official Update 2010“
E-Mail-Text: Unterschiedlicher Text
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Tearec.AZ 15.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Tearec.AZ ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: You Must View
Dateianhang: Clipe,zip.sCr
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: „hello, i send the file. Bye”
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
– %alle Verzeichnisse%
Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX
Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
McMaggot.AC 16.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm McMaggot.AC ist per E-Mail unterwegs. Die E-Mail ist angeblich von Mc Donalds verschickt worden.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Von: giveaway@mcdonalds.com
Betreff: Unterschiedlicher Text.
Dateianhang: coupon.pdf.exe
Größe des Dateianhangs: 237 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vxworks.exe
Es wird folgende Datei erstellt und ausgeführt:
– %SYSDIR%\qnx.exe
Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wind River Systems"="c:\windows\\system32\\vxworks.exe
Folgende Registryschlüssel werden geändert:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List
Neuer Wert:
• :\windows\\system32\\vxworks.exe"="c:\windows\\sys tem32\\vxworks.exe:*:Enabled:Explorer
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Bagle.FN3 18.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Bagle.FN3 ist erneut unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich ein Fax enthalten soll.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über ein Fax. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Fax Message
Dateianhang: Message is in attach
Größe des Dateianhangs: 20.000 Bytes
E-Mail-Text: Unterschiedlicher Text in englischer Sprache.
Größe des Dateianhangs: 237 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen
Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe
Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Sober 20.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst,
der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „Ihr Account wurde eingerichtet!“.
Dateianhang: Service.pdf.exe
E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“
Virus: Sober.AB10
Virustyp: Wurm
Dateigröße: 89.274 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe
Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Bagle.SZ4 23.04.2010
Verbreitung:--->*****
Schaden:------>*****
Zurzeit ist wieder der Trojaner Bagle.SZ4 per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner,
sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay.
Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wird der Anhang aber geöffnet, erscheint keine Rechnung,
sondern der Trojaner kapert das System.
Die E-Mail hat folgendes Aussehen
Absender: „eBay Kundensupport”
Betreff: „Ihre eBay.de Gebuehren“
Dateianhang: „eBay-Rechnung.pdf.exe“
Größe des Dateianhangs: 20.480 Bytes
E-Mail-Text: Unterschiedlicher Text
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Er benennt folgende Dateien um:
• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe
Er erstellt folgende Datei:
%SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)
Folgende Einträge werden aus der Windows Registry entfernt:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
APVXDWIN
KAV50
avg7_cc
avg7_emc
Zone Labs Client
Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPrompt
McAfee Guardian
[HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
McAfee.InstantUpdate.Monitor
internat.exe
Folgende Einträge werden der Windows Registry hinzugefügt:
[HKCU\Software\FirstRun]
"FirstRunRR"=dword:00000001
Folgende Prozesse werden von Bagle beendet:
AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE;
MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE
Folgende Services werden von Bagle beendet:
AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE;
CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework;
McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService;
Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV;
PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc; SWEEPSRV.SYS;
SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in;
XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe;
dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8; schscnt; sharedaccess; vsmon; wuauserv
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
ZBot.R10 25.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner ZBot.R10 ist per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid,
weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Lastschrift
Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe
Größe des Dateianhangs: unterschiedlich.
E-Mail-Text: unterschiedlich.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe
Folgende Datei wird gelöscht:
• %cookies%\*.*
Es werden folgende Dateien erstellt:
– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll
Folgende Registryschlüssel werden geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%
Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Ntech 27.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Ntech ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Hot game. You ask me about this game, Here is it.
Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.
Größe des Dateianhangs: 20.992 Bytes.
E-Mail-Text: Amusing game... In your attachemnt.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A
– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A
Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A
Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"
Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
ActiveService
• runtime
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
ActiveService
• runtime2
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Sober.F 28.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Sober.F ist wieder per E-Mail unterwegs. In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind.
Nähere Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Warnung!
Dateianhang: Schwarze-Liste
Größe des Dateianhangs: 42.496 Bytes
E-Mail-Text: „Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste“
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Wörter%.exe
%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32
Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Mytob.KS7 30.04.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Mytob.KS7 ist per E-Mail unterwegs. Wieder droht der Absender der E-Mail mit der Sperrung des E-Mail-Kontos.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die angebliche Sperrung des E-Mail-Kontos, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Email Account Suspension
Dateianhang: account-report.pdf.exe
Größe des Dateianhangs: 158.208 Bytes.
E-Mail-Text: “We have temporarily suspended your email account %Emailadresse des Empfängers%”.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe
Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Tearec.B 01.05.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Tearec.B ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Foto von Nina.
Dateianhang: Foto.jpg.exe
Größe des Dateianhangs: 154 Bytes
E-Mail-Text: Kein Text – Body ist leer.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
– %alle Verzeichnisse%
Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX
Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Mytob.BW10 04.05.2010
Verbreitung:--->*****
Schaden:------>*****
Ein als Strafanzeige der Kripo getarnter E-Mail-Virus verbreitet sich wieder mal im Internet.
Die gleiche E-Mail war vor ca. einem Jahr schon unterwegs und hat bei vielen ahnungslosen Anwendern das System verseucht.
Der Empfänger sei angeblich beim Herunterladen von Filmen, Software und MP3 erwischt und der Inhalt seines PCs als Beweismittel sichergestellt worden –
eine entsprechende Strafanzeige, so der Mail-Text weiter, „wird Ihnen in den nächsten Tagen schriftlich zugestellt“. Details zu den gesammelten Beweisen sollen sich im Anhang befinden –
doch lauert dort nicht der Staatsanwalt, sondern ein Wurm.
Die E-Mail hat folgendes Aussehen
Betreff: „Ermittlungsverfahren wurde eingeleitet“
Dateianhang: „text.pdf.exe“
E-Mail-Text: „ Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 62.36.148.*** erfasst wurde.
Der Inhalt Ihres Rechner wurde als Beweismittelsichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.”
Virus: Mytob.BW10
Virustyp: Wurm
Dateigröße: 53.248 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Wurm ausgeführt, erstellt er folgende Datei:
• %SYSDIR%w32NTupdt.exe
Folgende Einträge werden in der Registry angelegt:
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"
– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces
• "A New Windows Updater"="w32NTupdt.exe"
– HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"
– HKCUSoftwareMicrosoftOLE
• "A New Windows Updater"="w32NTupdt.exe"
– HKLMSOFTWAREMicrosoftOle
• "A New Windows Updater"="w32NTupdt.exe"
– HKCUSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"
– HKLMSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Dldr.Stration.Gen3 06.05.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner Dldr.Stration.Gen3 ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts,
stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Rontok.C 07.05.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Rontok.C ist zurzeit wieder per E-Mail unterwegs. Der Wurm versteckt sich in einer E-Mail, die angeblich vor dem Gebrauch von Drogen warnt.
Weitere Informationen dazu, könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die Gefahr von Drogen, sondern der Wurm installiert such auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Die Betreffzeile ist leer.
Dateianhang: kangen.txt.exe
E-Mail-Text: SAY NO TO DRUGS
Dateigröße: 81.920 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %WINDIR%\ShellNew\ElnorB.exe
• %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr
• %home%\Start Menu\Programs\Startup\Empty.pif
• %home%\Local Settings\Application Data\smss.exe
• %home%\Local Settings\Application Data\services.exe
• %home%\Local Settings\Application Data\inetinfo.exe
• %home%\Local Settings\Application Data\csrss.exe
• %home%\Local Settings\Application Data\lsass.exe
• %home%\Local Settings\Application Data\winlogon.exe
• %home%\Templates\bararontok.com
• %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com
In der Autoexec.bat wird folgender Befehl angelegt: – %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task,
welchen der Wurm zu einem vordefinierten Zeitpunkt ausführt.
Folgende Einträge werden in der Registry angelegt:
– HKLM\software\microsoft\windows\currentversion\run
• "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""
– HKCU\software\microsoft\windows\currentversion\run
• "Tok-Cirrhatus" = ""
• "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%home%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""
Folgende Einträge werden in der Registry geändert:
Deaktivieren von Regedit und Task Manager:
– HKCU\software\microsoft\windows\currentversion\Pol icies\System
Alter Wert:
• "DisableCMD" = %Einstellungen des Benutzers%
• "DisableRegistryTools" = %Einstellungen des Benutzers%
Neuer Wert:
• "DisableCMD" = dword:00000000
• "DisableRegistryTools" = dword:00000000
Verschiedenste Einstellungen des Explorers:
– HKCU\software\microsoft\windows\currentversion\Pol icies\Explorer
Alter Wert:
• "NoFolderOptions" = %Einstellungen des Benutzers%
Neuer Wert:
• "NoFolderOptions" = dword:00000001
– HKCU\software\microsoft\windows\currentversion\exp lorer\advanced
Alter Wert:
• "ShowSuperHidden" =%Einstellungen des Benutzers%
• "HideFileExt" = %Einstellungen des Benutzers%
• "Hidden" = %Einstellungen des Benutzers%
Neuer Wert:
• "ShowSuperHidden" = dword:00000000
• "HideFileExt" = dword:00000001
• "Hidden" = dword:00000000
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
Mytob 10.05.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Mytob ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: “Returned mail: see transcript for details”
Dateianhang: details.txt.exe
E-Mail-Text: „A message that you sent could not be delivered to one or more of its recipients. The following addresses failed: karlykay@rs-kartcenter.de”
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe
Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
-
ZBot.R10 14.05.2010
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner ZBot.R10 ist per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid,
weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Lastschrift
Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe
Größe des Dateianhangs: unterschiedlich.
E-Mail-Text: unterschiedlich.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe
Folgende Datei wird gelöscht:
• %cookies%\*.*
Es werden folgende Dateien erstellt:
– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll
Folgende Registryschlüssel werden geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%
Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
