HIER Viren- & Trojanerwarnungen posten!

[bletz]

10.11.2009

Virus : Mytob.NT4

Verbreitung:
....Schaden:

Der Wurm Mytob.NT4 ist zurzeit unterwegs und lockt unter anderem mit angeblichen Bankdokumenten im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen von einer Bank präsentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – eine der folgenden:
hello
Error
Status
Good day
SERVER REPORT
Mail Transaction Failed
Mail Delivery System

Dateianhang – beginnt mit einer der folgenden:
doc
file
text
data
body
readme
message
document
%zufällige Buchstabenkombination%

Die Dateierweiterung ist eine der folgenden:
.zip
.scr
.pif
.bat
.exe
.cmd

Größe des Dateianhangs: 58.368 Bytes.

E-Mail-Text:
„Here are your banks documents.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The original message was included as an attachment.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker

[Ham-Master]

Mytob.BW8 12.11.2009

Verbreitung:--->*****
Schaden:------>*****

Ein als Strafanzeige der Kripo getarnter E-Mail-Virus verbreitet sich wieder im Internet.
Die gleiche E-Mail war schon öfter unterwegs und hat bei vielen ahnungslosen Anwendern das System verseucht.
Der Empfänger sei angeblich beim Herunterladen von Filmen, Software und MP3 erwischt und der Inhalt seines PCs als Beweismittel sichergestellt worden –
eine entsprechende Strafanzeige, so der Mail-Text weiter, „wird Ihnen in den nächsten Tagen schriftlich zugestellt“. Details zu den gesammelten Beweisen sollen sich im Anhang befinden –
doch lauert dort nicht der Staatsanwalt, sondern ein Wurm.

Die E-Mail hat folgendes Aussehen

Betreff: „Ermittlungsverfahren wurde eingeleitet“

Dateianhang: text.pdf.exe

E-Mail-Text: „ Sehr geehrte Damen und Herren, das Herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 62.36.148.*** erfasst wurde. Der Inhalt Ihres Rechners wurde
als Beweismittelsichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.”

Virus: Mytob.BW8

Virustyp: Wurm

Dateigröße: 53.248 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Datei:
• %SYSDIR%w32NTupdt.exe

Folgende Einträge werden in der Registry angelegt:

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftOLE
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftOle
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

ZBot.R9 13.11.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner ZBot.R9 ist seit heute Morgen per E-Mail unterwegs.
Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung,
weil die angebliche Lastschrift im Anhang nicht bezahlt wurde.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Lastschrift

Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe.

Größe des Dateianhangs: unterschiedlich.

E-Mail-Text: unterschiedlich.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

15.11.2009

Virus : Mytob.KS5

Verbreitung:
....Schaden:

Der Wurm Mytob.KS5 ist per E-Mail unterwegs. Wieder droht der Absender der E-Mail mit der Sperrung des E-Mail-Kontos. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die angebliche Sperrung des E-Mail-Kontos, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff:
• Email Account Suspension
• Security measures
• Members Support
• Important Notification
• Warning Message: Your services near to be closed.
• Your Account is Suspended For Security Reasons

Dateianhang: account-report.zip

Größe des Dateianhangs: 158.208 Bytes.

E-Mail-Text:
„Dear %Domain Name der Emailadresse des Empfängers% Member,
We have temporarily suspended your email account %Emailadresse des Empfängers%.
See the details to reactivate your %Domäne des Empfängers% account.
Sincerely,The %Domäne des Empfängers% Support Team.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle: Virenticker

[Ham-Master]

Badware9 20.11.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Badware9 ist unterwegs und versucht Anwendern ein falsches Windows 7-Update vorzugaukeln.
Die E-Mail ist angeblich von Microsoft und enthält ein Update für das neue Betriebssystem Windows 7 Home Premium.
Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen

Betreff: „Update for Windows 7 Premium only“

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

TR/Dldr.iBill.X3 19.11.2009

Verbreitung:--->*****
Schaden:------>*****

Zurzeit werden wieder E-Mails versandt, die angeblich von Amazon stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 1.215 Euro für einen bestellten Laptop hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang steckt natürlich keine Rechnung, sondern ein Trojaner, der das betreffende System infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihre Bestellung 2984931 bei Amazon.de“.

Dateianhang: „Rechnung.doc.exe“

E-Mail-Text: „Vielen Dank fur Ihre Bestellung bei Amazon.de!
Das Sony VAIO VGN-1391517 Zoll WXGA Notebook wird in Kürze versendet. Die Kosten von 1215,- Euro
werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer Bestellung entnehmen Sie bitte der angefügten Rechnung.
Falls Sie die Bestellung stornieren möchten, bitte den in der Rechnung angegebenen, kostenlosen Kundenservice anrufen
und Ihre Bestellnummer bereit halten. Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen schriftlich zugestellt.“

Virus: TR/Dldr.iBill.X3

Virustyp: Trojaner

Dateigröße: 12.800 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird versucht die folgenden Dateien herunter zuladen:

– Die URL ist folgende:
• http://www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

– Die URL ist folgende:
• http://www.abetterstart.com/c/2000/**********

Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

Tipp! Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

23.11.2009

Virus :Ntech7

Verbreitung:
....Schaden:

Der Wurm Ntech7 ist wieder unterwegs – diesmal kommt die E-Mail mit deutscher Sprache. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Versprochenes Spiel im Anhang.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker

[bletz]

26.11.2009

Virus: Tearec.AZG

Verbreitung:
....Schaden:

Der Wurm Tearec.AZG ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: My photos

Dateiname des Anhangs: Photos,zip.exe

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: photo photo2 photo3

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker

[bletz]

27.11.2009

Virus : Mytob.d

Verbreitung:
....Schaden:

Der Wurm Mytob.d ist wieder per E-Mail unterwegs. Wieder droht der Absender der E-Mail mit der Sperrung des E-Mail-Kontos. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die angebliche Schließung des E-Mail-Kontos, stattdessen installiert sich der Wurm auf dem betreffenden System.


Die E-Mail hat folgendes Aussehen

Betreff: Email Account Suspension

Dateianhang: account-report.zip.exe

Größe des Dateianhangs: 158.208 Bytes.

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

Quelle.Virenticker

[bletz]

28.11.2009

Virus :Bagle.SZ

Verbreitung:
....Schaden:

Zurzeit ist wieder der Trojaner Bagle.SZ per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner, sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay. Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wird der Anhang aber geöffnet, erscheint keine Rechnung, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Absender: „eBay Kundendienst”

Betreff: „Ihre eBay.-Gebühren“

Dateianhang: „eBay-Rechnung.pdf.exe“

Größe des Dateianhangs: 20.480 Bytes

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle: Virenticker

[bletz]

30.11.2009

Virus : Bagle

Verbreitung:
....Schaden:

Ein Trojaner der Bagle-Familie ist wieder unterwegs. Der Trojaner wurde in englischer und deutscher Sprache per E-Mail verschickt. Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung PRICE, die den Trojaner enthält.
Wenn die Datei geöffnet wird, startet der Windows-Editor Notepad. Anschließend werden verschiedene Dienste gestoppt, Dateien gelöscht und Prozesse beendet. Hauptangriffsziel dabei ist es, Anti-Virenprogramme zu beenden. Abschließend wird dann versucht, eine Datei von verschiedenen Internet-Servern zu laden, die weitere Schad-Programme nachlädt.

Die E-Mail hat folgendes Aussehen

Betreff: price_ %aktuelles Datum%

Anhang: price%aktuelles Datum%.zip.exe

Größe des Dateianhangs: 40.961 Bytes.

E-Mail-Text: Unterschiedlicher Text in englischer und deutscher Sprache. Der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker

[bletz]

02.12.2009
Virus : Maggot.A

Verbreitung:
....Schaden:

Der Wurm Maggot.A ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Von: noreply@coca-cola.com

Betreff: Coca Cola wishes you Merry Christmas!

Dateianhang: coupon.zip.exe

Größe des Dateianhangs: 449.024 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vxworks.exe

Es wird folgende Datei erstellt und ausgeführt:
– %SYSDIR%\qnx.exe

Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wind River Systems"="c:\windows\\system32\\vxworks.exe

Folgende Registryschlüssel werden geändert:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List
Neuer Wert:
• :\windows\\system32\\vxworks.exe"="c:\windows\\sys tem32\\vxworks.exe:*:Enabled:Explorer

Quelle. Virenticker

[bletz]

04.12.2009
Virus : Mytob.V

Verbreitung:
....Schaden:

Der Wurm Mytob.V ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Error, Status, Server Report, Mail Transaction Failed oder Mail Delivery System.

Dateianhang: message.pdf.exe

E-Mail-Text: „Mail transaction failed. Partial message is available”.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle. Virenticker

[bletz]

05.12.2009

Virus: Mytob.HT

Verbreitung:
....Schaden:

Der Wurm Mytob.HT ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar eine wichtige Nachricht enthält. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine brisanten Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Important Notification.

Dateianhang: important-details.pdf.exe

E-Mail-Text: It has come to our attention that your %s User Profile ( x ) records are out of date. For further details see the attached document.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle. Virenticker

[bletz]

08.12.2009

Virus :TR/Dldr.iBill.Z2

Verbreitung:
....Schaden:

E-Mails verstopfen zurzeit die Postfächer, die angeblich von Single.de stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern ein Trojaner, der das betreffende System infizieren will.

Die angebliche E-Mail von Singel.de hat folgendes Aussehen:

Betreff: „Ihr Auftrag bei Singel.de“.

Dateianhang: „Singel.de_Rechnung_nqan599.rar“

E-Mail-Text: Unterschiedlicher Text.

Virus: TR/Dldr.iBill.Z2

Virustyp: Trojaner

Dateigröße: 16.896 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker