HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

TComBill.3 24.04.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner TComBill.3 verbreitet sich aktuell per E-Mail.
Dieser tarnt sich als angebliche Rechnung von der Telekom und versucht den Anwender durch einen hohen Rechnungsbetrag zum Öffnen des Anhangs zu verleiten.

Die E-Mail hat folgendes Aussehen

Betreff: „Telekom Rechnung Online Monat April 2009“

Dateianhang: Rechnung.pdf.exe

E-Mail-Text: „Guten Tag, die Gesamtsumme für Ihre Rechnung im Monat April 2009 beträgt: 415.81 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und – soweit von Ihnen beauftragt –
die Einzelverbindungsübersicht. Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken
Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt". Mit freundlichen Grüßen Ihre T-Com“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SystemDIR%ipwf.exe

und erstellt folgende Datei:

%SystemDIR%driverswinut.dat

Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

Folgende Einträge in der Windows Registry werden angelegt:

HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
"SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enable d:i pwf

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
"IPFW"=SystemDIRipwf.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Crypt.XPACK.Gen10 26.04.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Crypt.XPACK.Gen10 ist wieder per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben.
Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße.
Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

BackNine.Z9 28.04.2009

Verbreitung:--->*****
Schaden:------>*****

Eine mit einem Wurm verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn.
Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im Anhang entnehmen.
In dem Anhang steckt natürlich keine Informationen über den Gewinn, sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „You are a very lucky, read this mail!“.

Dateianhang: „BigCashForYou.exe.txt“

E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“

Virus: BackNine.Z9

Virustyp: Wurm

Dateigröße: 20.992 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe
• %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Tearec.AZE 29.04.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Tearec.AZE ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You Must View This Videoclip!

Der Dateiname des Anhangs: New Video,zip

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: hello, i send the file. bye

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Bagle.SZ2 01.05.2009

Verbreitung:--->*****
Schaden:------>*****

Zurzeit ist wieder der Trojaner Bagle.SZ2 per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner,
sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay.
Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wird der Anhang aber geöffnet,
erscheint keine Rechnung, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Absender: „eBay Collections”, „eBay Finance”, „eBay Kundensupport”.

Betreff: „Noch 14 Tage bis zu Ihrer Kontosperrung“, „Ihre eBay.de Gebuehren“.

Dateianhang: „eBay-Rechnung.pdf.exe“.

Größe des Dateianhangs: 20.480 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Er benennt folgende Dateien um:

• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe

Er erstellt folgende Datei:
%SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

Folgende Einträge werden aus der Windows Registry entfernt:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
APVXDWIN
KAV50
avg7_cc
avg7_emc
Zone Labs Client
Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPrompt
McAfee Guardian
[HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
McAfee.InstantUpdate.Monitor
internat.exe

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKCU\Software\FirstRun]
"FirstRunRR"=dword:00000001

Folgende Prozesse werden von Bagle beendet:
AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE;
MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE;
DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

Folgende Services werden von Bagle beendet:
AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE;
CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework;
McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService;
Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV; PAVFNSVR;
PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc; SWEEPSRV.SYS; SharedAccess;
SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in; XCOMM; alerter;
avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit; fsbwsys;
fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8; schscnt; sharedaccess; vsmon; wuauserv

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.AB6 03.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto,
sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihr Account wurde eingerichtet!“.

Dateianhang: Service.pdf.exe

E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“

Virus: Sober.AB6

Virustyp: Wurm

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob.NT2 05.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Mytob.NT2 ist zurzeit wieder unterwegs und lockt unter anderem mit angeblichen Bankdokumenten im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen von einer Bank präsentiert,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – eine der folgenden:
• hello
• Error
• Status
• Good day
• SERVER REPORT
• Mail Transaction Failed
• Mail Delivery System
Manchmal kann die Betreffzeile auch leer sein.
Des Weiteren kann die Betreffzeile zufällige Zeichen enthalten.

Dateianhang – beginnt mit einer der folgenden:
• doc
• file
• text
• data
• body
• readme
• message
• document
• %zufällige Buchstabenkombination%

Die Dateierweiterung ist eine der folgenden:
• .zip
• .scr
• .pif
• .bat
• .exe
• .cmd

Größe des Dateianhangs: 58.368 Bytes.

E-Mail-Text:
• Here are your banks documents.
• Mail transaction failed. Partial message is available.
• The original message was included as an attachment.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\rnathchk.exe
• c:\pic.scr
• c:\see_this!.pif
• c:\my_picture.scr

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp

Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

VB.EX3 08.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm VB.EX3 ist zurzeit per E-Mail unterwegs und lockt wieder mal mit einer Nachricht für Sie im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen über ein Schreiben angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: hello

Dateianhang: thisfile %siebenstellige zufällige Buchstabenkombination%.

Größe des Dateianhangs: 133.632 Bytes

E-Mail-Text: „please read again what i have written to you”.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "%zufällige Buchstabenkombination%"="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "%zufällige Buchstabenkombination%"="%WINDIR%\%zufällige Buchstabenkombination%.exe"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "avgnt"
• "drv_st_key"
• "norman_zanda"
• "MSMSG"
• "Winamp"
• "Word"
• "Driver"
• "WinUpdateSupervisor"
• "Task"
• "dago"
• "SMA_nya_Artika"
• "Putri_Indonesia"
• "BabelPath"
• "Alumni Smansa"
• "ViriSetup"
• "SMAN1_Pangkalpinang"
• "Putri_Bangka"
• "SysYuni"
• "SysDiaz"
• "SysRia"
• "Pluto"
• "DllHost"
• "SaTRio ADie X"
• "Tok-Cirrhatus"
• "AllMyBallance"
• "MomentEverComes"
• "TryingToSpeak"
• "YourUnintended"
• "YourUnintendes"
• "lexplorer"
• "dkernel"
• "Bron-Spizaetus"
• "ADie suka kamu"
• "winfix"
• "templog"
• "service"
• "Grogotix"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "avgnt"
• "drv_st_key"
• "norman_zanda"
• "MSMSG"
• "Winamp"
• "Word"
• "Driver"
• "WinUpdateSupervisor"
• "Task"
• "dago"
• "SMA_nya_Artika"
• "Putri_Indonesia"
• "BabelPath"
• "Alumni Smansa"
• "ViriSetup"
• "SMAN1_Pangkalpinang"
• "Putri_Bangka"
• "SysYuni"
• "SysDiaz"
• "SysRia"
• "Pluto"
• "DllHost"
• "SaTRio ADie X"
• "Tok-Cirrhatus"
• "AllMyBallance"
• "MomentEverComes"
• "TryingToSpeak"
• "YourUnintended"
• "YourUnintendes"
• "lexplorer"
• "dkernel"
• "Bron-Spizaetus"
• "ADie suka kamu"
• "winfix"
• "templog"
• "service"
• "Grogotix"

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• "Shell"="Explorer.exe"
Neuer Wert:
• "Shell"="explorer.exe, "%WINDIR%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Alter Wert:
• "load"=""
Neuer Wert:
• "load"=""%WINDIR%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.com""

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• "Hidden"=%Einstellungen des Benutzers%
• "HideFileExt"=%Einstellungen des Benutzers%
• "ShowSuperHidden"=%Einstellungen des Benutzers%
Neuer Wert:
• "Hidden"=dword:00000000
• "HideFileExt"=dword:00000001
• "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
Alter Wert:
• @="Screen Saver"
Neuer Wert:
• @="File Folder"

– [HKCR\exefile]
Alter Wert:
• @="Application"
Neuer Wert:
• @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
Alter Wert:
• @="Application"
Neuer Wert:
• @="File Folder"

Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s]
Alter Wert:
• "Start"=%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\
Folder\SuperHidden]
Alter Wert:
• "UncheckedValue"=%Einstellungen des Benutzers%
Neuer Wert:
• "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Alter Wert:
• "DisableConfig"=%Einstellungen des Benutzers%
• "DisableSR"=%Einstellungen des Benutzers%
Neuer Wert:
• "DisableConfig"=dword:00000001
• "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
Alter Wert:
• "AlternateShell"="cmd.exe"
Neuer Wert:
• "AlternateShell"="%zufällige Buchstabenkombination%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\msconfig.exe]
Neuer Wert:
• "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedit.exe]
Neuer Wert:
• "debugger"="%WINDIR%\%zufällige Buchstabenkombination%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\rstrui.exe]
Neuer Wert:
• "debugger"="%WINDIR%\notepad.exe"

Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut.

Es wird versucht folgende Information zu klauen:

– Nachdem Tastaturanschläge welche mit einer der folgenden Zeichenketten übereinstimmen gedrückt wurden wird eine Protokollfunktion gestartet:
• Friendster
• yahoo
• gmail
• login
• bank
• hotmail

– Aufgezeichnet wird:
• Tastaturanschläge

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

ZBot.R7 11.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner ZBot.R7 ist per E-Mail unterwegs.
Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid,
weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Lastschrift

Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe

Größe des Dateianhangs: unterschiedlich.

E-Mail-Text: unterschiedlich.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

MuJoin.AG 13.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner MuJoin.AG ist wieder per E-Mail mit einer angeblichen Antwort von einer Kontaktanzeige bei single.de unterwegs.
Die Absenderin der E-Mail mit dem Vornamen „Simone“ behauptet, schon seit längerer Zeit nach netten Kontakten für Freizeit, Hobbys und Erotik zu suchen.
Ein Bild von Simone könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Foto angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Hallo von Simone“.

Dateianhang: Foto-Simone.com.exe

Größe des Dateianhangs: 106.464 Bytes.

E-Mail-Text:
„Hallo,
Deine Kontaktanzeige bei single.de fand ich toll, auch
Dein Bild und Deine Vorstellungen.
Ich suche auch schon seit längerer Zeit nach netten Kontakten,
für Freizeit, Hobbys und Erotik.
Ich schicke mal ein Bild von mir mit, wenn Du Interesse hast,
melde Dich, damit wir ein Treffen vereinbaren können.
Gern mit Tel. Nummer.
Bild von mir im Anhang.
Bis bald, Simone“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Es wird folgende Datei erstellt:
– %home%\Local Settings\Temp.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dldr.iBill.X 15.05.2009

Verbreitung:--->*****
Schaden:------>*****

Zurzeit werden E-Mails versandt, die angeblich von Amazon stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 1.215 Euro für einen bestellten Laptop hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang steckt natürlich keine Rechnung, sondern ein heimtückischer Trojaner, der das betreffende System infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihre Bestellung 2984931 bei Amazon.de“.

Dateianhang: „Rechnung.doc.zip“

E-Mail-Text: „Vielen Dank fur Ihre Bestellung bei Amazon.de!
Das Sony VAIO Notebook wird in Kürze versendet. Die Kosten von 1215,- Euro werden Ihrem Konto zu Last gelegt.
Die Einzelheiten zu Ihrer Bestellung entnehmen Sie bitte der angefügten Rechnung.
Falls Sie die Bestellung stornieren möchten, bitte den in der Rechnung angegebenen, kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten.
Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen schriftlich zugestellt.“

Virus: Dldr.iBill.X

Virustyp: Trojaner

Dateigröße: 12.800 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Crypt.XPACK.Gen10 18.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Crypt.XPACK.Gen10 ist per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben.
Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Adresse des Absenders*: xiaody@vanke.com
* Bitte beachten Sie, dass die Absender-Adresse häufig gefälscht ist, es sich also meist nicht um den Urheber der schadhaften E-Mail handelt.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob.22 20.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Mytob.22 ist wieder verstärkt unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff – einer der folgenden:
• Mail delivery failed: returning message to sender
• Mail Delivery System
• Mail Transaction Failed
• Delivery Status Notification (Failure)
• Returned mail: see transcript for details

Dateianhang: details.txt.exe.

E-Mail-Text – einer der folgenden:
• „Mail transaction failed. Partial message is available.“
• „The following addresses had permanent fatal errors.”
• „The message you sent to sigil777.com/trash50534137 was rejected because the quota for the mailbox has been exceeded.”
• „A message that you sent could not be delivered to one or more of its recipients. The following addresses failed: karlykay@rs-kartcenter.de”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Traxgy.B4 22.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Traxgy.B4 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer. Im Anhang befindet sich ein angebliches Dokument.
Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen.
Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet,
stattdessen installiert sich der Wurm auf dem System.

Die E-Mail hat folgendes Aussehen

Betreff: %chinesischer Text%

Dateianhang: Document

Die Dateierweiterung ist eine der folgenden: .exe

Größe des Dateianhangs: 57.344 Bytes

E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• A:\Explorer.EXE
• A:\WINDOWS.EXE
• %Laufwerk%:\WINDOWS.EXE
• %Laufwerk%:\ghost.bat
• %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\help\ Mit einem der folgenden Namen:
• \%Hexadezimale Zahl%.com

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
• %alle Verzeichnisse%\desktop.ini

– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

Der Wert des folgenden Registry-Schlüssel wird gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• KaV300XP

Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Alter Wert:
• fullpath = %Einstellungen des Benutzers%
Neuer Wert:
• fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• HideFileExt = %Einstellungen des Benutzers%
• Hidden = %Einstellungen des Benutzers%
Neuer Wert:
• HideFileExt = dword:00000001
• Hidden = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

BackNine.Z10 25.05.2009
Verbreitung:--->*****
Schaden:------>*****
Eine mit einem Wurm verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn.
Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im Anhang entnehmen.
In dem Anhang steckt natürlich keine Informationen über den Gewinn, sondern der Wurm selbst, der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „You are a very lucky, read this mail!“.
Dateianhang: „BigCashForYou.exe.txt“
E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“
Virus: BackNine.Z10
Virustyp: Wurm
Dateigröße: 20.992 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System:
Es werden folgende Dateien erstellt: • %SYSDIR%\recovery.exe • %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!