HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

iBill 25.03.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner iBill ist wieder per E-Mails unterwegs. Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu verleiten,
die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt natürlich keine Daten von einer Abrechnung, sondern der Trojaner selbst,
der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Abrechnung 213851614859“.

Dateianhang: Unterschiedlich

E-Mail-Text: Unterschiedlich

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Folgender Schlüssel wird in der Registry angelegt, damit die DLL bei jedem Windows-Start automatisch geladen wird:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive Setup Installed Components{8B75D81C-C498-4935-C5D1-43AA4DB90836}

Nach dem Start der DLL nimmt diese Kontakt mit zwei Servern in China und in den USA auf und wartet auf Anweisungen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Paypal.D 26.03.2010

Verbreitung:--->*****
Schaden:------>*****

„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen.
Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet,
erhält man jedoch keine Informationen über die Rechnung. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Rechnung“ oder „Lastschrift“

E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe

Es wird folgende Datei erstellt:
– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer. exe"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dldr.Stration.Gen2 29.03.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Dldr.Stration.Gen2 ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem
betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Ntech.CS 31.03.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Ntech.CS ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Hot game. You ask me about this game, Here is it.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Amusing game... In your attachemnt.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys

– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C

– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV\0000\Control\
ActiveService
• Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME \0000\Control\
ActiveService
• runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2\0000\Control\
ActiveService
• runtime2

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

TR/Agent.249856.B 01.04.2010

Verbreitung:--->*****
Schaden:------>*****

Pünktlich zum ersten April meldet sich der berüchtigte Sturmwurm mit einer Welle infizierter E-Mails zurück.
In den Nachrichten versprechen die Hintermänner witzige Geschichten und skurrile Aprilscherze.
Nach einem Doppelklick auf den in der E-Mail befindlichen Link, erhält man jedoch keine lustigen Anekdoten,
stattdessen versucht sich der Trojaner TR/Agent.249856.B auf dem betreffenden System zu installieren.

Die E-Mail hat folgendes Aussehen

Betreff: „Happy April's Fool Day” oder „Surprise! The joke's on you”.

Größe des Trojaners: ca. 200.000 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

BackNine.Z12 03.04.2010


Verbreitung:--->*****
Schaden:------>*****

Eine mit dem Wurm BackNine.Z12 verseuchte E-Mail lockt zum
Wiederholten mahle mit einem angeblichen Geld-Gewinn.
Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im
Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen
über den Gewinn, sondern der Wurm selbst, der das betreffende System
dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „You are a very lucky, read this mail!“.

E-Mail-Text: „Hi, you won a big amount of money!!!
If you want to know more look at the attachment!“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System
Es werden folgende Dateien erstellt: • %SYSDIR%\recovery.exe •
%SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach
einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]

• run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Domwoot.F 06.04.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Domwoot.F ist per E-Mail unterwegs und verstopft die Postfächer. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse letzte Woche als Spam-Schleuder
verwendet wurde und deshalb der E-Mail-Account kurzfristig gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen und Instruktionen die angedrohte Sperrung des E-Mail-Accounts zu verhindern,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „We have suspended your account”

Dateianhang: readme.zip.exe

Größe des Dateianhangs: 86.681 Bytes

E-Mail-Text:
„We have temporarily suspended your email account %Emailadresse des Empfängers%.
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\svchosts.exe

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• \"Win32 Driver\"=\"svchosts.exe\"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once]
• \"Win32 Driver\"=\"svchosts.exe\"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once]
• \"Win32 Driver\"=\"svchosts.exe\"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• \"Win32 Driver\"=\"svchosts.exe\"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• \"Win32 Driver\"=\"svchosts.exe\"

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
• \"Type\"=dword:00000020
• \"Start\"=dword:00000004
• \"ErrorControl\"=dword:00000001
• \"ImagePath\"=hex(2):\"%SYSDIR%\svchosts.exe\" -netsvcs
• \"DisplayName\"=\"Win32 Driver\"
• \"ObjectName\"=\"LocalSystem\"
• \"FailureActions\"=hex:%Hex Werte%
• \"DeleteFlag\"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Securi ty]
• \"Security\"=hex:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
• \"0\"=\"Root\\LEGACY_SHIT\\0000\"
• \"Count\"=dword:00000001
• \"NextInstance\"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T]
• \"NextInstance\"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000]
• \"Service\"=\"shit\"
• \"Legacy\"=dword:00000001
• \"ConfigFlags\"=dword:00000000
• \"Class\"=\"LegacyDriver\"
• \"ClassGUID\"=\"{8ECC055D-047F-11D1-A537-0000F8753ED1}\"
• \"DeviceDesc\"=\"Win32 Driver\"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHI T\0000\Control]
• \"*NewlyCreated*\"=dword:00000000
• \"ActiveService\"=\"shit\"

Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:
• wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm

Es wird versucht folgende Information zu klauen:
– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
• :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
:!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
login=; password=; passwd=; PAYPAL; paypal

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dldr.iBill.X 12.04.2010

Verbreitung:--->*****
Schaden:------>*****

Zurzeit werden E-Mails versandt, die angeblich von Amazon stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag für ein Netbook von Sony hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
n dem Anhang steckt natürlich keine Rechnung, sondern der heimtückische Trojaner Dldr.iBill.X,
der das betreffende System infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihre Bestellung bei Amazon.de“.

Dateianhang: „Rechnung.pdf.exe“

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Bagle.SZ4 23.04.2010

Verbreitung:--->*****
Schaden:------>*****

Zurzeit ist wieder der Trojaner Bagle.SZ4 per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner,
sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay.
Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wird der Anhang aber geöffnet, erscheint keine Rechnung,
sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Absender: „eBay Kundensupport”

Betreff: „Ihre eBay.de Gebuehren“

Dateianhang: „eBay-Rechnung.pdf.exe“

Größe des Dateianhangs: 20.480 Bytes

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Er benennt folgende Dateien um:

• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe

Er erstellt folgende Datei:
%SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

Folgende Einträge werden aus der Windows Registry entfernt:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
APVXDWIN
KAV50
avg7_cc
avg7_emc
Zone Labs Client
Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPrompt
McAfee Guardian
[HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
McAfee.InstantUpdate.Monitor
internat.exe

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKCU\Software\FirstRun]
"FirstRunRR"=dword:00000001

Folgende Prozesse werden von Bagle beendet:
AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE;
MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

Folgende Services werden von Bagle beendet:
AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE;
CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework;
McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService;
Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV;
PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc; SWEEPSRV.SYS;
SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in;
XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe;
dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8; schscnt; sharedaccess; vsmon; wuauserv

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

ZBot.R10 25.04.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner ZBot.R10 ist per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid,
weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Lastschrift

Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe

Größe des Dateianhangs: unterschiedlich.

E-Mail-Text: unterschiedlich.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!