HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Bagle.FN3 30.06.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Bagle.FN3 ist unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich ein Fax enthalten soll.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über ein Fax.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Fax Message

Dateianhang: Message is in attach

Größe des Dateianhangs: 20.000 Bytes

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen

Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe

Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.F 03.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober.F ist wieder per E-Mail unterwegs.
In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind.
Nähere Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Warnung!

Dateianhang: Schwarze-Liste

Größe des Dateianhangs: 42.496 Bytes

E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

• %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32

Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Tearec.AZ 05.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Tearec.AZ ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff - eine der folgenden:
• Word file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View

Der Dateianhang des Anhangs ist einer der folgenden:
• 007.pif; 04.pif; 392315089702606E-02,.scR; 677.pif;
Clipe,zip.sCr; document.pif; DSC-00465.Pif; DSC-00465.pIf;

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text:
• hello, i send the file. bye
• how are you? i send the details. OK ?
• i just any one see my photos. It's Free :)

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

07.07.2009

Virus: Badware6

Verbreitung:
.....Schaden:

Der Trojaner Badware6 ist unterwegs und versucht Anwendern ein falsches Windows-Update vorzugaukeln. Die E-Mail ist angeblich von Microsofts Onlinedienst MSN und enthält ein kritisches Sicherheits-Update. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen

Betreff: „Official Update 2009“

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

Quelle.Virenticker

[Ham-Master]

Lovgate.X 09.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Lovgate.X ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Attached one Gift for u.

Der Dateiname des Anhangs: enjoy.pdf.exe

Größe des Dateianhangs: 219.000 Bytes

E-Mail-Text: Send me your comments.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\WinDriver.exe
• %SYSDIR%\Winexe.exe
• %SYSDIR%\WinGate.exe
• %SYSDIR%\RAVMOND.exe
• %SYSDIR%\IEXPLORE.EXE
• %TEMPDIR%\%zufällige Buchstabenkombination%
• c:\SysBoot.EXE
• %WINDIR%\SYSTRA.EXE
• %SYSDIR%\WinHelp.exe

Es werden folgende Dateien erstellt:
– c:\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• [AUTORUN]
Open="C:\SysBoot.EXE" /StartExplorer
– %SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
– [HKLM\software\microsoft\windows\currentversion\run \]
• "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
• "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
• "WinHelp"="%SYSDIR%\WinHelp.exe"
• "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
– [HKLM\software\microsoft\windows\currentversion\run services\]
• "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\software\microsoft\windows nt\currentversion\windows\]
• "DebugOptions"="2048"
• "Documents"=""
• "DosPrint"="no"
• "load"=""
• "NetMessage"="no"
• "NullPort"="None"
• "Programs"="com exe bat pif cmd"
• "run"="RAVMOND.exe"

Folgender Registryschlüssel wird geändert:
– [HKCR\exefile\shell\open\command]
Alter Wert:
• @="\"%1\" %*"
Neuer Wert:
• @="%SYSDIR%\winexe.exe \"%1\" %*"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob.BT 11.07.2009

Verbreitung:--->*****
Schaden:------>*****

Zurzeit ist der Wurm Mytob.BT wieder verstärkt unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff:
• Error
• Hello
• Mail Delivery System
• Mail Transaction Failed
• Server Report
• Status.

Dateianhang: body.zip.exe.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Crypt.XPACK.Gen 14.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Crypt.XPACK.Gen ist wieder per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben.
Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße.
Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Ntech5 16.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Ntech5 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden,
über das man Informationen angefordert hat. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Heißes Spiel. Sie wollten mehr zu diesem Spiel wissen, hier es ist.

Dateianhang: Die gepackte Datei Spiel.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Unterhaltendes Spiel… im Anhang.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys

– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C

– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
ActiveService
• runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
ActiveService
• runtime2

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

TComBill.4 18.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner TComBill.4 verbreitet sich aktuell per E-Mail.
Dieser tarnt sich als angebliche Rechnung von der Telekom und versucht den Anwender durch einen hohen Rechnungsbetrag zum Öffnen des Anhangs zu verleiten.

Die E-Mail hat folgendes Aussehen

Betreff: „Telekom Rechnung über 415,70 Euro“

Dateianhang: Rechnung.pdf.exe

E-Mail-Text: „Mit dieser E-Mail erhalten Sie eine Rechnung über 415,70 Euro. <Unterschiedlicher Text>. Mit freundlichen Grüßen Ihre T-Com“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SystemDIR%ipwf.exe

und erstellt folgende Datei:

%SystemDIR%driverswinut.dat

Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

Folgende Einträge in der Windows Registry werden angelegt:

HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
"SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enable d:i pwf

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
"IPFW"=SystemDIRipwf.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

21.07.2009

Verbreitung:
....Schaden:

Der Trojaner Crypt.XPACK.Gen10 ist per E-Mail unterwegs. Im Mittelpunkt steht ein angebliches Video mit der beliebten Moderatorin Erin Andrews des US-Sportsenders ESPN. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein Video präsentiert, stattdessen installiert sich der Trojaner auf dem betreffenden System und nimmt Kontakt mit einem Server auf. Anschließend versucht der Trojaner Zugangsdaten für Onlinebanking und Kreditkartennummern auszuspähen.

Die E-Mail hat folgendes Aussehen

Betreff: „Erin Andrews Free Video”

Dateianhang: „video.avi.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

Quelle.Virenticker

[Ham-Master]

Netsky.D.Dbm 23.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Netsky.D.Dbm verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff:
• Re: Approved; Re: Details; Re: Document; Re: Excel file; Re: Hello;
Re: Here; Re: Here is the document; Re: Hi; Re: My details; Re: Re:
Document; Re: Re: Message; Re: Re: Re: Your document; Re: Re: Thanks!;
Re: Thanks!; Re: Word file; Re: Your archive; Re: Your bill; Re: Your
details; Re: Your document; Re: Your letter; Re: Your music; Re: Your
picture; Re: Your product; Re: Your software; Re: Your text; Re: Your
website

Dateianhang:
• all_document.pif; application.pif; document.pif; document_4351.pif;
document_excel.pif; document_full.pif; document_word.pif;
message_details.pif; message_part2.pif; mp3music.pif; my_details.pif;
your_archive.pif; your_bill.pif; your_details.pif; your_document.pif;
your_file.pif; your_letter.pif; your_picture.pif; your_product.pif;
your_text.pif; your_website.pif; yours.pif

Größe des Dateianhangs: 17.424 Bytes.

E-Mail-Text:
• Your file is attached.
• Please read the attached file.
• Please have a look at the attached file.
• See the attached file for details.
• Here is the file.
• Your document is attached.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dldr.Tiny4 26.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Dldr.Tiny4 ist wieder per E-Mail unterwegs und lockt mit einem angeblichen Paket das von UPS versendet wird.
Eine ähnlich lautende E-Mail mit Schadsoftware wurde schon im Januar 2009 verstärkt versendet.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Ihr UPS Paket N3227943976

Größe des Dateianhangs: 2.139 Bytes

E-Mail-Text unterschiedlich – meist: Ihr UPS Paket N3227943976. Weitere Informationen zum Versandstatus des Pakets finden Sie im Anhang.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird versucht die folgenden Dateien herunter zuladen:

– Die URL ist folgende:
• http://www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

– Die URL ist folgende:
• http://www.abetterstart.com/c/2000/**********

Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

28.07.2009

Virus: Dldr.Stration.Gens

Verbreitung:
....Schaden:

Der Trojaner Dldr.Stration.Gens ist massiv per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.

Quelle.Virenticker

[Ham-Master]

Mytob.B3 31.07.2009

Verbreitung:--->*****
Schaden: ------>*****

Zurzeit ist der Wurm Mytob.B3 wieder unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff:
• Error
• Hello
• Mail Delivery System
• Mail Transaction Failed
• Server Report
• Status.

Dateianhang: body.zip.exe.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

03.08.2009

Virus: BackNine.Z10

Verbreitung:
.....Schaden:

Eine mit einem Wurm verseuchte E-Mail lockt zum Wiederholtenmahle mit einem angeblichen Geld-Gewinn. Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über den Geldsegen, sondern der Wurm selbst, der das betreffende System dann infiziert. Der Wurm war auch schon im April dieses Jahres verstärkt aktiv.

Die E-Mail hat folgendes Aussehen

Betreff: „You are a very lucky, read this mail!“.

Dateianhang: „BigCashForYou.exe.txt“

E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“

Virus: BackNine.Z10

Virustyp: Wurm

Dateigröße: 20.992 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe
• %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

Quelle.Virenticker