HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Mytob.BW10 04.05.2010

Verbreitung:--->*****
Schaden:------>*****

Ein als Strafanzeige der Kripo getarnter E-Mail-Virus verbreitet sich wieder mal im Internet.
Die gleiche E-Mail war vor ca. einem Jahr schon unterwegs und hat bei vielen ahnungslosen Anwendern das System verseucht.
Der Empfänger sei angeblich beim Herunterladen von Filmen, Software und MP3 erwischt und der Inhalt seines PCs als Beweismittel sichergestellt worden –
eine entsprechende Strafanzeige, so der Mail-Text weiter, „wird Ihnen in den nächsten Tagen schriftlich zugestellt“. Details zu den gesammelten Beweisen sollen sich im Anhang befinden –
doch lauert dort nicht der Staatsanwalt, sondern ein Wurm.

Die E-Mail hat folgendes Aussehen

Betreff: „Ermittlungsverfahren wurde eingeleitet“

Dateianhang: „text.pdf.exe“

E-Mail-Text: „ Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 62.36.148.*** erfasst wurde.
Der Inhalt Ihres Rechner wurde als Beweismittelsichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.”

Virus: Mytob.BW10

Virustyp: Wurm

Dateigröße: 53.248 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Datei:
• %SYSDIR%w32NTupdt.exe

Folgende Einträge werden in der Registry angelegt:

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftOLE
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftOle
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dldr.Stration.Gen3 06.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Dldr.Stration.Gen3 ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Rontok.C 07.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Rontok.C ist zurzeit wieder per E-Mail unterwegs. Der Wurm versteckt sich in einer E-Mail, die angeblich vor dem Gebrauch von Drogen warnt.
Weitere Informationen dazu, könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die Gefahr von Drogen, sondern der Wurm installiert such auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Die Betreffzeile ist leer.

Dateianhang: kangen.txt.exe

E-Mail-Text: SAY NO TO DRUGS

Dateigröße: 81.920 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:

• %WINDIR%\ShellNew\ElnorB.exe

• %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr

• %home%\Start Menu\Programs\Startup\Empty.pif

• %home%\Local Settings\Application Data\smss.exe

• %home%\Local Settings\Application Data\services.exe

• %home%\Local Settings\Application Data\inetinfo.exe

• %home%\Local Settings\Application Data\csrss.exe

• %home%\Local Settings\Application Data\lsass.exe

• %home%\Local Settings\Application Data\winlogon.exe

• %home%\Templates\bararontok.com

• %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com

In der Autoexec.bat wird folgender Befehl angelegt: – %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task,
welchen der Wurm zu einem vordefinierten Zeitpunkt ausführt.

Folgende Einträge werden in der Registry angelegt:

– HKLM\software\microsoft\windows\currentversion\run

• "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run

• "Tok-Cirrhatus" = ""

• "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%home%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""

Folgende Einträge werden in der Registry geändert:

Deaktivieren von Regedit und Task Manager:

– HKCU\software\microsoft\windows\currentversion\Pol icies\System

Alter Wert:

• "DisableCMD" = %Einstellungen des Benutzers%

• "DisableRegistryTools" = %Einstellungen des Benutzers%

Neuer Wert:

• "DisableCMD" = dword:00000000

• "DisableRegistryTools" = dword:00000000

Verschiedenste Einstellungen des Explorers:

– HKCU\software\microsoft\windows\currentversion\Pol icies\Explorer

Alter Wert:

• "NoFolderOptions" = %Einstellungen des Benutzers%

Neuer Wert:

• "NoFolderOptions" = dword:00000001

– HKCU\software\microsoft\windows\currentversion\exp lorer\advanced

Alter Wert:

• "ShowSuperHidden" =%Einstellungen des Benutzers%

• "HideFileExt" = %Einstellungen des Benutzers%

• "Hidden" = %Einstellungen des Benutzers%

Neuer Wert:

• "ShowSuperHidden" = dword:00000000

• "HideFileExt" = dword:00000001

• "Hidden" = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob 10.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Mytob ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: “Returned mail: see transcript for details”

Dateianhang: details.txt.exe

E-Mail-Text: „A message that you sent could not be delivered to one or more of its recipients. The following addresses failed: karlykay@rs-kartcenter.de”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

ZBot.R10 14.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner ZBot.R10 ist per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid,
weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Lastschrift

Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe

Größe des Dateianhangs: unterschiedlich.

E-Mail-Text: unterschiedlich.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober 15.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst,
der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihr Account wurde eingerichtet!“.

Dateianhang: Service.pdf.exe

E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“

Virus: Sober.AB10

Virustyp: Wurm

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Musicnapper]

Win32.ZBot infiziert Systeme trotz aktueller AV Software, bei NOD32 hab ich das selbst erlebt,aber auch Kaspersky hat das Problem : http://support.kaspersky.com/de/faq/?qid=207619478

Das auf der Seite angebotene Tool bietet Abhilfe.

[Ham-Master]

Ntech9 18.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Ntech9 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Hot game. You ask me about this game, Here is it.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Amusing game... In your attachemnt.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A
– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
ActiveService
• runtime
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
ActiveService
• runtime2

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

MuJoin 20.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner MuJoin ist per E-Mail mit einer angeblichen Antwort von einer Kontaktanzeige bei single.de unterwegs.
Die Absenderin der E-Mail mit dem Vornamen „Karin“ behauptet, schon seit längerer Zeit nach netten Kontakten für Freizeit und Hobbys zu suchen.
Ein Bild von Karin könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Foto angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Hallo von Karin“.

Dateianhang: Foto-Karin.exe.jpg

Größe des Dateianhangs: 112.762 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgende Datei erstellt:
– %home%\Local Settings\Temp.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Chir.D 21.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Chir.D ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die einen Besuch des Absenders ankündigt.
Nähere Angaben zu dieser Person können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den Gast.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: %Benutzernamen der Emailadresse des Absenders% is coming!

Dateianhang: PP.exe

E-Mail-Text: Unterschiedlicher Text – der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe

Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob.CR6 23.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Mytob.CR6 ist wieder per E-Mail unterwegs. Der Wurm versteckt sich im Anhang der E-Mail,
die Bankdokumente enthalten soll. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man jedoch kein Informationen von einer Bank präsentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Here are your banks documents”

Dateianhang: „document.txt.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgende Datei erstellt:

– C:\hellmsn.exe

Die folgenden Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
• "WsTask" = "task32.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"

– HKCU\Software\Microsoft\OLE
• "WsTask" = "task32.exe"

– HKLM\SOFTWARE\Microsoft\Ole
• "WsTask" = "task32.exe"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Agent.RCE7 25.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Agent.RCE7 versteckt sich im Anhang einer E-Mail, die scheinbar einen geänderten Vertrag übermitteln soll.
Nähere Angaben zum Vertrag, können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den von der Gegenseite vorbereiteten Vertrag.
Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Your new labour contract”

Dateianhang: contract.pdf.exe

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %PROGRAM FILES%\Microsoft Common\wuauclt.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

TComBill.K 29.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner TComBill.K verbreitet sich per E-Mail. Dieser tarnt sich als angebliche Rechnung von der Telekom und versucht den Anwender
durch einen hohen Rechnungsbetrag zum Öffnen des Anhangs zu verleiten.

Die E-Mail hat folgendes Aussehen

Betreff: "Telekom Rechnung"

Dateianhang: Rechnung.pdf.exe

E-Mail-Text: "Guten Tag, die Gesamtsumme für Ihre Rechnung beträgt: 337.89 Euro.“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SystemDIR%ipwf.exe

und erstellt folgende Datei:

%SystemDIR%driverswinut.dat

Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

Folgende Einträge in der Windows Registry werden angelegt:

HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
"SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enable d:i pwf

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
"IPFW"=SystemDIRipwf.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Paypal 02.06.2010

Verbreitung:--->*****
Schaden:------>*****

„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen.
Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet,
erhält man jedoch keine Informationen über die Rechnung. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Rechnung“ oder „Lastschrift“

E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe

Es wird folgende Datei erstellt:
– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer. exe"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Tearec.AZI 04.06.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Tearec.AZI ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You Must View This Videoclip!

Der Dateiname des Anhangs: New Video,zip

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: hello, i send the file. bye

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!