Wurm Klez.E7


Verbreitung: *****

Schaden: *****

zurzeit werden E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang stecken natürlich keine Informationen über den Abbuchungsauftrag, sondern der heimtückische Wurm Klez.E7, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen:

Betreff: Vertrag

Dateianhang: Rechnung.rar

Größe des Dateianhangs: 65 KByte

E-Mail-Text: „Sehr geehrte Kundin, sehr geehrte Kunde,
Ihr Abbuchungsauftrag wurde erfüllt.
Sie finden die Details zu der Rechnung im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
%TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Es werden folgende Dateien erstellt:

Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
%TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
%PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C
Folgende Dateien werden gelöscht:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT
Shlwapi.dll
Kernel32.dll
netapi32.dll
sfc.dll
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

[HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]

Type = 110
Start = 2
ErrorControl = 0
ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
"ObjectName"="LocalSystem"
[HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]

Security = %hex values
[HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]

0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
Count = 1
NextInstance = 1
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!