HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

TComBill.K 29.05.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner TComBill.K verbreitet sich per E-Mail. Dieser tarnt sich als angebliche Rechnung von der Telekom und versucht den Anwender
durch einen hohen Rechnungsbetrag zum Öffnen des Anhangs zu verleiten.

Die E-Mail hat folgendes Aussehen

Betreff: "Telekom Rechnung"

Dateianhang: Rechnung.pdf.exe

E-Mail-Text: "Guten Tag, die Gesamtsumme für Ihre Rechnung beträgt: 337.89 Euro.“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SystemDIR%ipwf.exe

und erstellt folgende Datei:

%SystemDIR%driverswinut.dat

Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

Folgende Einträge in der Windows Registry werden angelegt:

HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
"SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enable d:i pwf

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
"IPFW"=SystemDIRipwf.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Paypal 02.06.2010

Verbreitung:--->*****
Schaden:------>*****

„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen.
Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet,
erhält man jedoch keine Informationen über die Rechnung. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Rechnung“ oder „Lastschrift“

E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe

Es wird folgende Datei erstellt:
– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer. exe"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Tearec.AZI 04.06.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Tearec.AZI ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You Must View This Videoclip!

Der Dateiname des Anhangs: New Video,zip

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: hello, i send the file. bye

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

VB.EX5 06.06.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm VB.EX5 ist zurzeit per E-Mail unterwegs und lockt wieder mal mit einer Nachricht für Sie im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen über ein Schreiben angezeigt,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: hello

Dateianhang: thisfile %siebenstellige zufällige Buchstabenkombination%.

Größe des Dateianhangs: 133.632 Bytes

E-Mail-Text: please read again what i have written to you.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "%zufällige Buchstabenkombination%"="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "%zufällige Buchstabenkombination%"="%WINDIR%\%zufällige Buchstabenkombination%.exe"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "avgnt"
• "drv_st_key"
• "norman_zanda"
• "MSMSG"
• "Winamp"
• "Word"
• "Driver"
• "WinUpdateSupervisor"
• "Task"
• "dago"
• "SMA_nya_Artika"
• "Putri_Indonesia"
• "BabelPath"
• "Alumni Smansa"
• "ViriSetup"
• "SMAN1_Pangkalpinang"
• "Putri_Bangka"
• "SysYuni"
• "SysDiaz"
• "SysRia"
• "Pluto"
• "DllHost"
• "SaTRio ADie X"
• "Tok-Cirrhatus"
• "AllMyBallance"
• "MomentEverComes"
• "TryingToSpeak"
• "YourUnintended"
• "YourUnintendes"
• "lexplorer"
• "dkernel"
• "Bron-Spizaetus"
• "ADie suka kamu"
• "winfix"
• "templog"
• "service"
• "Grogotix"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "avgnt"
• "drv_st_key"
• "norman_zanda"
• "MSMSG"
• "Winamp"
• "Word"
• "Driver"
• "WinUpdateSupervisor"
• "Task"
• "dago"
• "SMA_nya_Artika"
• "Putri_Indonesia"
• "BabelPath"
• "Alumni Smansa"
• "ViriSetup"
• "SMAN1_Pangkalpinang"
• "Putri_Bangka"
• "SysYuni"
• "SysDiaz"
• "SysRia"
• "Pluto"
• "DllHost"
• "SaTRio ADie X"
• "Tok-Cirrhatus"
• "AllMyBallance"
• "MomentEverComes"
• "TryingToSpeak"
• "YourUnintended"
• "YourUnintendes"
• "lexplorer"
• "dkernel"
• "Bron-Spizaetus"
• "ADie suka kamu"
• "winfix"
• "templog"
• "service"
• "Grogotix"

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• "Shell"="Explorer.exe"
Neuer Wert:
• "Shell"="explorer.exe, "%WINDIR%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe""

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
Alter Wert:
• "load"=""
Neuer Wert:
• "load"=""%WINDIR%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.com""

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• "Hidden"=%Einstellungen des Benutzers%
• "HideFileExt"=%Einstellungen des Benutzers%
• "ShowSuperHidden"=%Einstellungen des Benutzers%
Neuer Wert:
• "Hidden"=dword:00000000
• "HideFileExt"=dword:00000001
• "ShowSuperHidden"=dword:00000000

– [HKCR\scrfile]
Alter Wert:
• @="Screen Saver"
Neuer Wert:
• @="File Folder"

– [HKCR\exefile]
Alter Wert:
• @="Application"
Neuer Wert:
• @="File Folder"

– [HKLM\SOFTWARE\Classes\exefile]
Alter Wert:
• @="Application"
Neuer Wert:
• @="File Folder"

Deaktiviere Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s]
Alter Wert:
• "Start"=%Einstellungen des Benutzers%
Neuer Wert:
• "Start"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\
Folder\SuperHidden]
Alter Wert:
• "UncheckedValue"=%Einstellungen des Benutzers%
Neuer Wert:
• "UncheckedValue"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Alter Wert:
• "DisableConfig"=%Einstellungen des Benutzers%
• "DisableSR"=%Einstellungen des Benutzers%
Neuer Wert:
• "DisableConfig"=dword:00000001
• "DisableSR"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
Alter Wert:
• "AlternateShell"="cmd.exe"
Neuer Wert:
• "AlternateShell"="%zufällige Buchstabenkombination%.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\msconfig.exe]
Neuer Wert:
• "debugger"="%WINDIR%\notepad.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedit.exe]
Neuer Wert:
• "debugger"="%WINDIR%\%zufällige Buchstabenkombination%\regedit.cmd"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\rstrui.exe]
Neuer Wert:
• "debugger"="%WINDIR%\notepad.exe"

Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut.

Es wird versucht folgende Information zu klauen:

– Nachdem Tastaturanschläge welche mit einer der folgenden Zeichenketten übereinstimmen gedrückt wurden wird eine Protokollfunktion gestartet:
• Friendster
• yahoo
• gmail
• login
• bank
• hotmail

– Aufgezeichnet wird:
• Tastaturanschläge

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Drover 07.06.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Drover ist per E-Mail unterwegs. Der digitale Schädling kommt gleich mit mehreren E-Mail-Varianten daher.
Mit einem Geschenk über 1.000 Euro von der Postbank bis zu kostenlosen Tickets lockt der Wurm den Anhang zu öffnen.
Im Anhang befinden sich dann wie immer keine weiteren Informationen, sondern der Wurm lauert darauf, das betreffende System zu kapern.

Die E-Mail hat folgendes Aussehen

Betreff:
• Euro von der Postbank
• Geld von Postbank
• GEWONNEN!
• Guten Tag! Hier sind Ihre Tickets!
• Sie haben Tickets gewonnen!

Dateianhang:
• akte
• gewinn
• Kontoauszug
• tickets

E-Mail-Text: Unterschiedlicher Text.

Dateigröße: 46.626 Bytes.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows Systemverzeichnis:
– %SYSDIR%\mszsrn32.dll

Folgende Einträge in der Windows Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
mszsrn32]
• "DllName"="c:\windows\\System32\\mszsrn32.dll"
• "Startup"="Startup"
• "Asynchronous"=dword:00000001
• "Impersonate"=dword:00000000
• "Type"=dword:00000002
• "SystemId"=dword:f5742799
• "LastAck"=dword:00000036
• "NoScan"=dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

BackNine.Z13 10.06.2010

Verbreitung:--->*****
Schaden:------>*****

Eine mit einem Wurm verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn.
Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im Anhang entnehmen.
In dem Anhang steckt natürlich keine Informationen über den Geldsegen, sondern der Wurm selbst,
der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „You are a very lucky, read this mail!“.

Dateianhang: „BigCashForYou.exe.txt“

E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“

Virus: BackNine.Z13

Virustyp: Wurm

Dateigröße: 20.992 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es werden folgende Dateien erstellt: • %SYSDIR%\recovery.exe • %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Bagle.FN6 14.06.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Bagle.FN6 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail,
die angeblich ein Fax enthalten soll. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über ein Fax.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Fax Message

Dateianhang: Message is in attach

Größe des Dateianhangs: 20.000 Bytes

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen

Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe

Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Zafi.Z 23.07.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Zafi.Z verstopft zurzeit die Postfächer. Angeblich soll im Anhang der E-Mail eine Grußkarte gespeichert sein.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Grüße mitgeteilt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Flashcard fuer Dich!“ oder „Grußkarte fuer Dich!“

Dateianhang: link.flashcard.de.viewcard34.php.2672aB.pif

Größe des Dateianhangs: 12.800 Bytes.

E-Mail-Text: „Hallo! %Benutzernamen der Emailadresse des Absenders% hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://xxx/ Viel Spass beim Lesen wuenscht Ihnen ihr...“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe
• %SYSDIR%\%zufällige Buchstabenkombination%.dll
• %zufällig ausgewähltes Verzeichnis%\%existierende Datei oder Verzeichnis%_update.exe

Es wird versucht folgende Datei auszuführen:
• %PROGRAM FILES%\Internet Explorer\iexplore.exe unter Zuhilfenahme folgender Kommandozeilen-Parameter: %besuchte URL%

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• _Hazafibb = %SYSDIR%\%zufällige Buchstabenkombination%.exe

Folgender weiterer Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\_Hazafibb]

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Traxgy.B5 27.07.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer.
Im Anhang befindet sich ein angebliches Dokument. Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text
aus chinesischen Schriftzeichen bestehen. Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.

Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet,
stattdessen installiert sich der Wurm auf dem System.

Die E-Mail hat folgendes Aussehen

Betreff: %chinesischer Text%

Dateianhang: Document

Die Dateierweiterung ist eine der folgenden: .exe

Größe des Dateianhangs: 57.344 Bytes

E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• A:\Explorer.EXE
• A:\WINDOWS.EXE
• %Laufwerk%:\WINDOWS.EXE
• %Laufwerk%:\ghost.bat
• %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\help\ Mit einem der folgenden Namen:
• \%Hexadezimale Zahl%.com

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
• %alle Verzeichnisse%\desktop.ini

– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

Der Wert des folgenden Registry-Schlüssel wird gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• KaV300XP

Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Alter Wert:
• fullpath = %Einstellungen des Benutzers%
Neuer Wert:
• fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• HideFileExt = %Einstellungen des Benutzers%
• Hidden = %Einstellungen des Benutzers%
Neuer Wert:
• HideFileExt = dword:00000001
• Hidden = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Komodo 29.07.2010

Verbreitung:--->*****
Schaden:------>*****

Zurzeit überschwemmen E-Mails mit dem Wurm Komodo im Anhang viele Postfächer.
Wird der im Anhang befindliche Wurm entpackt und aktiviert, kapert das Schadprogramm den PC.
Anschließend versucht der Wurm alle Sicherheitsprogramme wie Virenscanner und Firewall zu deaktivieren.
Zusätzlich werden die Sicherheitseinstellungen im Browser heruntergesetzt. Dann lädt der Wurm Dateien von einem Server
nach und verschickt sich weiter über die auf dem System gefundenen E-Mail-Adressen.
Folgende Dateien durchsucht der Wurm nach E-Mail-Adressen: .INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP; .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT.

Die E-Mail hat folgendes Aussehen

Betreff: "My Photo on Paris"

Dateianhang: "Picture.zip".

Größe des Dateianhangs: 48.829 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C

Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Agent.24 02.08.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Agent.24 ist per E-Mail unterwegs und versucht den Anwendern ein falsches Windows-Update vorzugaukeln.
Die E-Mail ist angeblich von Microsoft und enthält ein kritisches Sicherheits-Update für Windows 7/Vista/XP.
Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen

Betreff: „Critical Microsoft Update for Windows 7/Vista/XP “.

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Paypal.TR 15.09.2010

Verbreitung:--->*****
Schaden:------>*****

„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen.
Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet,
erhält man jedoch keine Informationen über die Forderung. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Rechnung“ oder „Lastschrift“
E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe

Es wird folgende Datei erstellt:
– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer. exe"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Traxgy.B5 19.09.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer.
Im Anhang befindet sich ein angebliches Dokument.
Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen.
Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet,
stattdessen installiert sich der Wurm auf dem System.

Die E-Mail hat folgendes Aussehen

Betreff: %chinesischer Text%

Dateianhang: Document

Die Dateierweiterung ist eine der folgenden: .exe

Größe des Dateianhangs: 57.344 Bytes

E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• A:\Explorer.EXE
• A:\WINDOWS.EXE
• %Laufwerk%:\WINDOWS.EXE
• %Laufwerk%:\ghost.bat
• %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\help\ Mit einem der folgenden Namen:
• \%Hexadezimale Zahl%.com

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
• %alle Verzeichnisse%\desktop.ini

– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

Der Wert des folgenden Registry-Schlüssels wird gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• KaV300XP

Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Alter Wert:
• fullpath = %Einstellungen des Benutzers%
Neuer Wert:
• fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Alter Wert:
• HideFileExt = %Einstellungen des Benutzers%
• Hidden = %Einstellungen des Benutzers%
Neuer Wert:
• HideFileExt = dword:00000001
• Hidden = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Netsky.D 02.10.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Netsky.D verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Here is the document

Dateianhang: yours.pif

Größe des Dateianhangs: 17.424 Bytes

E-Mail-Text: Your document is attached

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

McMaggot.AB 19.10.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm McMaggot.AB ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen von Coca Cola, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Coca Cola is proud to accounce our new Promotion.

Dateianhang: coupon.zip

Größe des Dateianhangs: 449.024 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vxworks.exe

Es wird folgende Datei erstellt und ausgeführt:
– %SYSDIR%\qnx.exe

Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wind River Systems"="c:\windows\\system32\\vxworks.exe

Folgende Registryschlüssel werden geändert:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List
Neuer Wert: :\windows\\system32\\vxworks.exe"="c:\windows\\sys tem32\\vxworks.exe:*:Enabled:Explorer

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!