TR/Agent.249856.B 01.04.2010

Verbreitung:--->*****
Schaden:------>*****

Pünktlich zum ersten April meldet sich der berüchtigte Sturmwurm mit einer Welle infizierter E-Mails zurück.
In den Nachrichten versprechen die Hintermänner witzige Geschichten und skurrile Aprilscherze.
Nach einem Doppelklick auf den in der E-Mail befindlichen Link, erhält man jedoch keine lustigen Anekdoten,
stattdessen versucht sich der Trojaner TR/Agent.249856.B auf dem betreffenden System zu installieren.

Die E-Mail hat folgendes Aussehen

Betreff: „Happy April's Fool Day” oder „Surprise! The joke's on you”.

Größe des Trojaners: ca. 200.000 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!