HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

ZBot.R7 15.10.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner ZBot.R7 ist per E-Mail unterwegs.
Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid,
weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Lastschrift

Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe

Größe des Dateianhangs: unterschiedlich.

E-Mail-Text: unterschiedlich.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

TComBill.6 19.10.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner TComBill.6 verbreitet sich per E-Mail.
Dieser tarnt sich als angebliche Rechnung von der Telekom und
versucht den Anwender durch einen hohen Rechnungsbetrag zum Öffnen des Anhangs zu verleiten.

Die E-Mail hat folgendes Aussehen

Betreff: Telekom Rechnung Online Monat Oktober 2009

Dateianhang: Rechnung.pdf.exe

E-Mail-Text: "Guten Tag, die Gesamtsumme für Ihre Rechnung im Monat Oktober 2009 beträgt: 745.81 Euro.
Mit dieser E-Mail erhalten Sie
Ihre aktuelle Rechnung und – soweit von Ihnen beauftragt – die Einzelverbindungsübersicht.
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".
Mit freundlichen Grüßen Ihre T-Com".

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SystemDIR%ipwf.exe

und erstellt folgende Datei:

%SystemDIR%driverswinut.dat

Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

Folgende Einträge in der Windows Registry werden angelegt:

HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
"SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enable d:i pwf

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
"IPFW"=SystemDIRipwf.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

BackNine.Z11 27.10.2009

Verbreitung:--->*****
Schaden:------>*****

Eine mit einem Wurm verseuchte E-Mail lockt zum Wiederholtenmahle mit einem angeblichen Geld-Gewinn.
Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im Anhang entnehmen.
In dem Anhang steckt natürlich keine Informationen über den Geldsegen, sondern der Wurm selbst,
der das betreffende System dann infiziert. Der Wurm war auch schon im April dieses Jahres verstärkt aktiv.

Die E-Mail hat folgendes Aussehen

Betreff: „You are a very lucky, read this mail!“.

Dateianhang: „BigCashForYou.exe.txt“

E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“

Virus: BackNine.Z11

Virustyp: Wurm

Dateigröße: 20.992 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe
• %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.AB8 28.10.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst,
der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihr Account wurde eingerichtet!“.

Dateianhang: Service.pdf.exe

E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“

Virus: Sober.AB8

Virustyp: Wurm

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Ntech.FS 29.10.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Ntech.FS ist unterwegs.
Angeblich soll sich im Anhang der E-Mail ein Spiel befinden.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Hot game. You ask me about this game, Here is it.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Amusing game... In your attachemnt.

Dateigröße: 59.224 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys

– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C

– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV\0000\Control\
ActiveService
• Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME \0000\Control\
ActiveService
• runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2\0000\Control\
ActiveService
• runtime2

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Domwoot.E 02.11.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Domwoot.E ist per E-Mail unterwegs. In der E-Mail ist zu lesen,
dass die eigene E-Mail-Adresse letzte Woche als Spam-Schleuder verwendet wurde
und deshalb der E-Mail-Account kurzfristig gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen und Instruktionen die angedrohte Sperrung
des E-Mail-Accounts zu verhindern, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Email Account Suspension

Dateianhang: readme.zip.exe

Größe des Dateianhangs: 86.681 Bytes

E-Mail-Text: „We have temporarily suspended your email account %Emailadresse des Empfängers%.
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week.
If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\svchosts.exe

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once]
• "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
• "Type"=dword:00000020
• "Start"=dword:00000004
• "ErrorControl"=dword:00000001
• "ImagePath"=hex(2):"%SYSDIR%\svchosts.exe" -netsvcs
• "DisplayName"="Win32 Driver"
• "ObjectName"="LocalSystem"
• "FailureActions"=hex:%Hex Werte%
• "DeleteFlag"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Securi ty]
• "Security"=hex:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
• "0"="Root\\LEGACY_SHIT\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T]
• "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000]
• "Service"="shit"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="Win32 Driver"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000\Control]
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="shit"

Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:
• wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm

Es wird versucht folgende Information zu klauen:
– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
• :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
:!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
login=; password=; passwd=; PAYPAL; paypal

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

MuJoin 04.11.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner MuJoin ist wieder per E-Mail mit einer angeblichen Antwort von einer Kontaktanzeige bei single.de unterwegs.
Die Absenderin der E-Mail mit dem Vornamen „Karin“ behauptet, schon seit längerer Zeit nach netten Kontakten für Freizeit,
Hobbys und Erotik zu suchen. Ein Bild von Karin könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Foto angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Hallo von Karin“.

Dateianhang: Foto-Karin.exe.jpg

Größe des Dateianhangs: 112.762 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Es wird folgende Datei erstellt:
– %home%\Local Settings\Temp.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Bagle.SZ3 08.11.2009

Verbritung:--->*****
Schaden:------>*****

Zurzeit ist der Trojaner Bagle.SZ3 per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner, sich auf dem betreffenden System zu installieren.
Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay. Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wird der Anhang aber geöffnet,
erscheint keine Rechnung, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Absender: „eBay Collections”, „eBay Finance”, „eBay Kundensupport”

Betreff: „Noch 14 Tage bis zu Ihrer Kontosperrung“, „Ihre eBay.de Gebuehren“

Dateianhang: „eBay-Rechnung.pdf.exe“

Größe des Dateianhangs: 20.480 Bytes

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Er benennt folgende Dateien um:

• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe

Er erstellt folgende Datei:
%SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

Folgende Einträge werden aus der Windows Registry entfernt:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
APVXDWIN
KAV50
avg7_cc
avg7_emc
Zone Labs Client
Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPrompt
McAfee Guardian
[HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
McAfee.InstantUpdate.Monitor
internat.exe

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKCU\Software\FirstRun]
"FirstRunRR"=dword:00000001

Folgende Prozesse werden von Bagle beendet:
AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE;
NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE;
ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

Folgende Services werden von Bagle beendet:
AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE;
CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework;
McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler;
NWService; Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall;
PASSRV; PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc;
SWEEPSRV.SYS; SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus;
VisNetic AntiVirus Plug-in; XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc;
ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth;
ravmon8; schscnt; sharedaccess; vsmon; wuauserv

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

10.11.2009

Virus : Mytob.NT4

Verbreitung:
....Schaden:

Der Wurm Mytob.NT4 ist zurzeit unterwegs und lockt unter anderem mit angeblichen Bankdokumenten im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen von einer Bank präsentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – eine der folgenden:
hello
Error
Status
Good day
SERVER REPORT
Mail Transaction Failed
Mail Delivery System

Dateianhang – beginnt mit einer der folgenden:
doc
file
text
data
body
readme
message
document
%zufällige Buchstabenkombination%

Die Dateierweiterung ist eine der folgenden:
.zip
.scr
.pif
.bat
.exe
.cmd

Größe des Dateianhangs: 58.368 Bytes.

E-Mail-Text:
„Here are your banks documents.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The original message was included as an attachment.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker

[Ham-Master]

Mytob.BW8 12.11.2009

Verbreitung:--->*****
Schaden:------>*****

Ein als Strafanzeige der Kripo getarnter E-Mail-Virus verbreitet sich wieder im Internet.
Die gleiche E-Mail war schon öfter unterwegs und hat bei vielen ahnungslosen Anwendern das System verseucht.
Der Empfänger sei angeblich beim Herunterladen von Filmen, Software und MP3 erwischt und der Inhalt seines PCs als Beweismittel sichergestellt worden –
eine entsprechende Strafanzeige, so der Mail-Text weiter, „wird Ihnen in den nächsten Tagen schriftlich zugestellt“. Details zu den gesammelten Beweisen sollen sich im Anhang befinden –
doch lauert dort nicht der Staatsanwalt, sondern ein Wurm.

Die E-Mail hat folgendes Aussehen

Betreff: „Ermittlungsverfahren wurde eingeleitet“

Dateianhang: text.pdf.exe

E-Mail-Text: „ Sehr geehrte Damen und Herren, das Herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 62.36.148.*** erfasst wurde. Der Inhalt Ihres Rechners wurde
als Beweismittelsichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.”

Virus: Mytob.BW8

Virustyp: Wurm

Dateigröße: 53.248 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Datei:
• %SYSDIR%w32NTupdt.exe

Folgende Einträge werden in der Registry angelegt:

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftOLE
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftOle
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

ZBot.R9 13.11.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner ZBot.R9 ist seit heute Morgen per E-Mail unterwegs.
Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung,
weil die angebliche Lastschrift im Anhang nicht bezahlt wurde.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Lastschrift

Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe.

Größe des Dateianhangs: unterschiedlich.

E-Mail-Text: unterschiedlich.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

15.11.2009

Virus : Mytob.KS5

Verbreitung:
....Schaden:

Der Wurm Mytob.KS5 ist per E-Mail unterwegs. Wieder droht der Absender der E-Mail mit der Sperrung des E-Mail-Kontos. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die angebliche Sperrung des E-Mail-Kontos, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff:
• Email Account Suspension
• Security measures
• Members Support
• Important Notification
• Warning Message: Your services near to be closed.
• Your Account is Suspended For Security Reasons

Dateianhang: account-report.zip

Größe des Dateianhangs: 158.208 Bytes.

E-Mail-Text:
„Dear %Domain Name der Emailadresse des Empfängers% Member,
We have temporarily suspended your email account %Emailadresse des Empfängers%.
See the details to reactivate your %Domäne des Empfängers% account.
Sincerely,The %Domäne des Empfängers% Support Team.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle: Virenticker

[Ham-Master]

Badware9 20.11.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Badware9 ist unterwegs und versucht Anwendern ein falsches Windows 7-Update vorzugaukeln.
Die E-Mail ist angeblich von Microsoft und enthält ein Update für das neue Betriebssystem Windows 7 Home Premium.
Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen

Betreff: „Update for Windows 7 Premium only“

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

23.11.2009

Virus :Ntech7

Verbreitung:
....Schaden:

Der Wurm Ntech7 ist wieder unterwegs – diesmal kommt die E-Mail mit deutscher Sprache. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Versprochenes Spiel im Anhang.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker

[bletz]

26.11.2009

Virus: Tearec.AZG

Verbreitung:
....Schaden:

Der Wurm Tearec.AZG ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: My photos

Dateiname des Anhangs: Photos,zip.exe

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: photo photo2 photo3

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker