HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Bagleprice3 18.03.2009


Verbreitung:--->*****
Schaden:------->*****

Ein Trojaner der Bagle-Familie ist wieder unterwegs. Der Trojaner wurde in englischer und deutscher Sprache per E-Mail
verschickt. Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung PRICE, die den Trojaner enthält.
Wenn die Datei geöffnet wird, startet der Windows-Editor Notepad. Anschließend werden verschiedene Dienste gestoppt,
Dateien gelöscht und Prozesse beendet. Hauptangriffsziel dabei ist es, Anti-Virenprogramme zu beenden.
Abschließend wird dann versucht, eine Datei von verschiedenen Internet-Servern zu laden, die weitere Schad-Programme
nachlädt.

Die E-Mail hat folgendes Aussehen

Betreff: pric %aktuelles Datum%

Der Dateiname des Anhangs ist einer der folgenden:
• price%aktuelles Datum%.zip
• new_price%aktuelles Datum%.zip
• latest_price%aktuelles Datum%.zip

Größe des Dateianhangs: 40.961.

E-Mail-Text: Unterschiedlicher Text in englischer und deutscher Sprache. Der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird Bagle ausgeführt, kopiert er sich nach: %SystemDIR%\winshost.exe

Er benennt folgende Dateien um:

• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe

Er erstellt folgende Datei:
%SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

Folgende Einträge werden aus der Windows Registry entfernt:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
APVXDWIN
KAV50
avg7_cc
avg7_emc
Zone Labs Client
Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPrompt
McAfee Guardian
[HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
McAfee.InstantUpdate.Monitor
internat.exe

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKCU\Software\FirstRun]
"FirstRunRR"=dword:00000001

Folgende Prozesse werden von Bagle beendet:
AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE;
NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE;
ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE;
ICSUPP95.EXE; ESCANH95.EXE

Folgende Dienste werden von Bagle beendet:
AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb
Client -7681197; BlackICE; CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService;
KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework; McShield; McTaskManager; MonSvcNT; NISSERV; NISUM;
NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService; Network Associates Log
Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV;
PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService;
SNDSrvc; SPBBCSvc; SWEEPSRV.SYS; SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC;
Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in; XCOMM; alerter; avg7alrt; avg7updsvc; avpcc;
awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit;
fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8;
schscnt; sharedaccess; vsmon; wuauserv

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Agent.X2 20.03.2009


Verbreitung:--->*****
Schaden:------->*****

Der Trojaner Agent.X2 ist per E-Mail unterwegs.
Der Trojaner versteckt sich im Anhang der E-Mail, die eine Rechnung enthalten soll.
Wird die sich im Anhang befindende gepackte Datei geöffnet, erhält man jedoch keine Informationen über eine Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „New Bill for register”

Body: „Hello register, the new bill is attached. Password is 123. Please pay in time”

Dateianhang: „bill.zip“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\scan[1].exe
• %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\l[1].exe
• %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\g[1].exe

Es wird versucht die folgenden Dateien aus dem Internet herunterzuladen:
• Internetadresse/scan.exe
• Internetadresse /l.exe
• Internetadresse g.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dr4 23.03.2009


Verbreitung:--->*****
Schaden:------->*****

Der Trojaner Dr4 ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen
E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgende Datei erstellt und ausgeführt:
– %TEMPDIR%\tassvhost.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob.A 26.03.2009


Verbreitung:--->*****
Schaden:------->*****

Zurzeit ist der Wurm Mytob.A wieder verstärkt unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht
zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die
entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: • Error • Hello • Mail Delivery System • Mail Transaction Failed • Server Report • Status.

Dateianhang: body.zip.exe.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: Mail transaction failed. Partial message is available.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Traxgy.C 30.03.2009


Verbreitung:--->*****
Schaden:------->*****

Zurzeit ist wieder das Trojanische Pferd Traxgy.C per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der
Trojaner, sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay.
Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wenn man den Anhang aber öffnet,
erscheint keine Rechnung, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Absender: „eBay Collections”, „eBay Finance”, „eBay Kundensupport”.

Betreff: „Ihre eBay.de Gebuehren“.

Dateianhang: „eBay-Rechnung.pdf.exe“ und ein PDF-Symbol.

Größe des Dateianhangs: 20.480 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• A:\Explorer.EXE
• A:\WINDOWS.EXE
• %Laufwerk%:\WINDOWS.EXE
• %Laufwerk%:\ghost.bat
• %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\help\ Mit einem der folgenden Namen:
• \%Hexadezimale Zahl%.com

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
• %alle Verzeichnisse%\desktop.ini

– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

Der Wert des folgenden Registry-Schlüssel wird gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• KaV300XP

Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Alter Wert:
• fullpath = %Einstellungen des Benutzers%
Neuer Wert:
• fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• HideFileExt = %Einstellungen des Benutzers%
• Hidden = %Einstellungen des Benutzers%
Neuer Wert:
• HideFileExt = dword:00000001
• Hidden = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Deisic]

Warnung vor falschen Conficker-Entfernern
von Axel Postinett

Die Conficker-Panik hat IT-Gemeinde, Medien und Internet erfasst. Und schon tauchen die ersten falschen Freunde im Web auf, die Entfernungstools anbieten, um den ungebetenen Gast wieder von der Festplatte zu putzen. Doch blinder Aktionismus ist fehl am Platze. In Wahrheit wird oft genug nur das Gegenteil erreicht: Hinter den Hilfsprogrammen kann sich neue Schadsoftware verbergen.>>>weiter

[Ham-Master]

Bagle.FN2 01.04.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Bagle.FN2 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich ein Fax enthalten soll.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über ein Fax.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Fax Message

Dateianhang: Message is in attach

Größe des Dateianhangs: 20.000 Bytes

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen

Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe

Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Tearec.B 03.04.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Tearec.B ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die
im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden
System.

Die E-Mail hat folgendes Aussehen

Betreff: My photos; The Best Videoclip Ever.

Dateianhang: New Video.zip

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: i just any one see my photos. It's Free :)

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

06.04.2009

Der Trojaner Agent.RCE4

Verbreitung:
....Schaden:

Der Trojaner Agent.RCE4 versteckt sich im Anhang einer E-Mail, die scheinbar einen geänderten Vertrag übermitteln soll. Nähere Angaben zum Vertrag, können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den von der Gegenseite vorbereiteten Vertrag. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – einer der folgenden:
Loan Contract
Contract of order fulfillment
Your new labour contract
Record in debit of account
Dateianhang: contract.zip

E-Mail-Text:
„Dear Sirs,
We have prepared a contract and added the paragraphs that you wanted to see in it. Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment. We are enclosing the file with the prepared contract.
If necessary, we can send it by fax.
Looking forward to your decision.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %PROGRAM FILES%\Microsoft Common\wuauclt.exe

Quelle.Virenticker.

[Ham-Master]

Ntech4 09.04.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Ntech4 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im
Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Hot game. You ask me about this game, Here is it.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Amusing game... In your attachemnt.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys

– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C

– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
ActiveService
• runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
ActiveService
• runtime2

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.AB5 13.04.2009


Verbreitung:--->*****
Schaden:------->*****


Der Wurm Sober.AB5 ist zurzeit wieder verstärkt per E-Mails unterwegs.
Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten, die im Anhang befindliche Datei zu
öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst, der das betreffende
System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihr Account wurde eingerichtet!“.

Dateianhang: „Service.pdf.exe“

E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

iBill.BR5 16.04.2009


Verbreitung:--->*****
Schaden:------->*****

Der Trojaner iBill.BR5 ist wieder per E-Mails unterwegs.
Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu
verleiten, die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt
natürlich keine Daten von einer Abrechnung, sondern der Trojaner selbst,
der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Abrechnung 213851614859“.

Dateianhang: Unterschiedlich

E-Mail-Text: Unterschiedlich

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie
vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders
gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

TR/Dldr.iBill.Y 17.04.2009
Verbreitung:--->*****
Schaden:------>*****
E-Mails verstopfen zurzeit die Postfächer, die angeblich von Quelle.de stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang steckt natürlich keine Rechnung, sondern ein Trojaner, der das betreffende System infizieren will.
Die angebliche E-Mail von Quelle.de hat folgendes Aussehen:
Betreff: „Ihre Quelle Bestellung“.
Dateianhang: „Quelle_Rechnung_nqan599.rar.exe“
E-Mail-Text: „Wir bestätigen Ihnen den Eingang Ihrer Bestellung, Vorgangs-ID: 611661716631
Verarbeitungscode: ART 0805491165855906868717073885505998909
Kundennummer: 469391344
Sehr geehrte Quelle Kunde,
vielen Dank für Ihre Bestellung bei www.quelle.de. Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.
Die Gesamtsumme für Ihre Rechnung beträgt: 1.071,46 Euro (incl. Versandspesen: EUR 5,95).
Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei…“
Virus: TR/Dldr.iBill.Y
Virustyp: Trojaner
Dateigröße: 16.896 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\isca.exe
Es wird folgende Datei erstellt:
• %SYSDIR%\drivers\wed.tx
Registry: Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "ShellN"="isca.exe"
Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "wef"=dword:00000037
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.Q2 20.04.2009

Verbreitung:--->*****
Schaden:------>*****

Seit gestern Abend ist eine neue Sober-Variante unterwegs.
Sie wurde heute Nacht in englischer Sprache per E-Mail verschickt.
Im Anhang enthält die E-Mail eine ZIP-Datei, mit der Bezeichnung „pword_change.zip“, die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q2 ein Meldungsfenster mit dem Text „Error in packed file“ und „CRC header must be $7ff8“.
Anschließend installiert sich der Wurm im betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Fwd: Klassentreffen“ oder „Your new Password“

Dateianhang: ZIP-Archiv mit der Bezeichnung „pword_change.zip“

E-Mail-Text: Your password was successfully changed! Please see the attached file for detailed information.

Virus: Sober.Q2

Virustyp: Wurm

Dateigröße: 113.551 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx (Dateigröße: 0 Bytes)

Folgende Einträge werden der Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails
von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Chir.C2 22.04.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Chir.C2 ist wieder unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail, die einen Besuch des Absenders ankündigt.
Nähere Angaben zu dieser Person können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den Gast.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: %Benutzernamen der Emailadresse des Absenders% is coming!

Dateianhang: PP.exe

E-Mail-Text: Unterschiedlicher Text – der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe

Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!