HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Dldr.Stration.Gen3 06.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Dldr.Stration.Gen3 ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Rontok.C 07.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Rontok.C ist zurzeit wieder per E-Mail unterwegs. Der Wurm versteckt sich in einer E-Mail, die angeblich vor dem Gebrauch von Drogen warnt.
Weitere Informationen dazu, könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die Gefahr von Drogen, sondern der Wurm installiert such auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Die Betreffzeile ist leer.

Dateianhang: kangen.txt.exe

E-Mail-Text: SAY NO TO DRUGS

Dateigröße: 81.920 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:

• %WINDIR%\ShellNew\ElnorB.exe

• %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr

• %home%\Start Menu\Programs\Startup\Empty.pif

• %home%\Local Settings\Application Data\smss.exe

• %home%\Local Settings\Application Data\services.exe

• %home%\Local Settings\Application Data\inetinfo.exe

• %home%\Local Settings\Application Data\csrss.exe

• %home%\Local Settings\Application Data\lsass.exe

• %home%\Local Settings\Application Data\winlogon.exe

• %home%\Templates\bararontok.com

• %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com

In der Autoexec.bat wird folgender Befehl angelegt: – %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task,
welchen der Wurm zu einem vordefinierten Zeitpunkt ausführt.

Folgende Einträge werden in der Registry angelegt:

– HKLM\software\microsoft\windows\currentversion\run

• "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run

• "Tok-Cirrhatus" = ""

• "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%home%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""

Folgende Einträge werden in der Registry geändert:

Deaktivieren von Regedit und Task Manager:

– HKCU\software\microsoft\windows\currentversion\Pol icies\System

Alter Wert:

• "DisableCMD" = %Einstellungen des Benutzers%

• "DisableRegistryTools" = %Einstellungen des Benutzers%

Neuer Wert:

• "DisableCMD" = dword:00000000

• "DisableRegistryTools" = dword:00000000

Verschiedenste Einstellungen des Explorers:

– HKCU\software\microsoft\windows\currentversion\Pol icies\Explorer

Alter Wert:

• "NoFolderOptions" = %Einstellungen des Benutzers%

Neuer Wert:

• "NoFolderOptions" = dword:00000001

– HKCU\software\microsoft\windows\currentversion\exp lorer\advanced

Alter Wert:

• "ShowSuperHidden" =%Einstellungen des Benutzers%

• "HideFileExt" = %Einstellungen des Benutzers%

• "Hidden" = %Einstellungen des Benutzers%

Neuer Wert:

• "ShowSuperHidden" = dword:00000000

• "HideFileExt" = dword:00000001

• "Hidden" = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob 10.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Mytob ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: “Returned mail: see transcript for details”

Dateianhang: details.txt.exe

E-Mail-Text: „A message that you sent could not be delivered to one or more of its recipients. The following addresses failed: karlykay@rs-kartcenter.de”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!