TR/Agent.249856.B 01.04.2010
Verbreitung:--->*****
Schaden:------>*****
Pünktlich zum ersten April meldet sich der berüchtigte Sturmwurm mit einer Welle infizierter E-Mails zurück.
In den Nachrichten versprechen die Hintermänner witzige Geschichten und skurrile Aprilscherze.
Nach einem Doppelklick auf den in der E-Mail befindlichen Link, erhält man jedoch keine lustigen Anekdoten,
stattdessen versucht sich der Trojaner TR/Agent.249856.B auf dem betreffenden System zu installieren.
Die E-Mail hat folgendes Aussehen
Betreff: „Happy April's Fool Day” oder „Surprise! The joke's on you”.
Größe des Trojaners: ca. 200.000 Bytes.
E-Mail-Text: Unterschiedlicher Text.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe
Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"
Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!