HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Netsky.D.Dcm 15.06.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Netsky.D.Dcm verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Re: Approved; Re: Details; Re: Document; Re: Excel file; Re: Hello; Re: Here; Re: Here is the document; Re: Hi; Re: My details; Re: Re: Document;

Dateianhang: all_document.pif; application.pif; document.pif; document_4351.pif; document_excel.pif; document_full.pif; document_word.pif; message_details.pif;

Größe des Dateianhangs: 17.424 Bytes.

E-Mail-Text:
• Your file is attached.
• Please read the attached file.
• Please have a look at the attached file.
• See the attached file for details.
• Here is the file.
• Your document is attached.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober 18.06.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst,
der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihr Account wurde eingerichtet!“.

Dateianhang: Service.pdf.exe

E-Mail-Text: „Danke dass Sie sich für uns entschieden haben.“

Virus: Sober

Virustyp: Wurm

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

iBill 29.06.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner iBill ist wieder per E-Mails unterwegs. Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu verleiten,
die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt natürlich keine Daten von einer Abrechnung, sondern der Trojaner selbst,
der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Abrechnung 213851614859“.

Dateianhang: Unterschiedlich

E-Mail-Text: Unterschiedlich

Dateigröße: Unterschiedlich

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Folgender Schlüssel wird in der Registry angelegt, damit die DLL bei jedem Windows-Start automatisch geladen wird:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive Setup Installed Components{8B75D81C-C498-4935-C5D1-43AA4DB90836}

Nach dem Start der DLL nimmt diese Kontakt mit zwei Servern in China und in den USA auf und wartet auf Anweisungen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.Q 08.07.2010

Verbreitung:--->*****
Schaden:------>*****

Seit gestern Abend ist eine neue Sober-Variante unterwegs. Sie wurde heute Nacht in deutscher und englischer Sprache per E-Mail an viele Anwender in ganz Deutschland verschickt.
Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung "KlassenFoto.zip" bzw. "pword_change.zip", die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q ein Meldungsfenster mit dem Text "Error in packed file" und "CRC header must be $7ff8".
Anschließend installiert sich der Wurm im betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: "Fwd: Klassentreffen" oder "Your new Password"

Dateianhang: ZIP-Archiv mit der Bezeichnung "KlassenFoto.zip" bzw. "pword_change.zip"

E-Mail-Text:
"ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)."
oder
“Your password was successfully changed! Please see the attached file for detailed information.”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird TR/Bagle.CQ ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx (Dateigröße: 0 Bytes)

Die 0 Bytes großen Dateien sind Steuerdateien, welche ältere Varianten des Worm/Sober deaktivieren.

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"

Der Wurm durchsucht anschließend Dateien nach E-Mail-Adressen, an die er sich mit Hilfe seiner eigenen SMTP-Engine versendet.
Ziel ist es Postfächer mit E-Mails zu verstopfen und E-Mail-Server lahm zu legen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.AB11 15.07.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober.AB11 ist wieder per E-Mails unterwegs.
Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto,
sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihr Account wurde eingerichtet!“.

Dateianhang: Service.pdf.exe

E-Mail-Text: „ Danke das Sie sich für uns entschieden haben.“

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Klez.E7 17.07.2010

Verbreitung:--->*****
Schaden:------>*****

Zurzeit werden wieder E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang stecken natürlich keine Informationen über den Abbuchungsauftrag,
sondern der heimtückische Wurm Klez.E7, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen

Betreff: Vertrag

Dateianhang: Rechnung.rar

Größe des Dateianhangs: 65 KByte.

E-Mail-Text: „Sehr geehrte Kundin, sehr geehrte Kunde, Ihr Abbuchungsauftrag wurde erfüllt. Sie finden die Details zu der Rechnung im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C

Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Lovgate.W 19.07.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Lovgate.W ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Attached one Gift for u.

Der Dateiname des Anhangs: enjoy.exe

Größe des Dateianhangs: 179.200 Bytes

E-Mail-Text: Send me your comments.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\WinDriver.exe
• %SYSDIR%\Winexe.exe
• %SYSDIR%\WinGate.exe
• %SYSDIR%\RAVMOND.exe
• %SYSDIR%\IEXPLORE.EXE
• %TEMPDIR%\%zufällige Buchstabenkombination%
• c:\SysBoot.EXE
• %WINDIR%\SYSTRA.EXE
• %SYSDIR%\WinHelp.exe

Es werden folgende Dateien erstellt:
– c:\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• [AUTORUN]
Open="C:\SysBoot.EXE" /StartExplorer
– %SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
– [HKLM\software\microsoft\windows\currentversion\run \]
• "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
• "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
• "WinHelp"="%SYSDIR%\WinHelp.exe"
• "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
– [HKLM\software\microsoft\windows\currentversion\run services\]
• "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\software\microsoft\windows nt\currentversion\windows\]
• "DebugOptions"="2048"
• "Documents"=""
• "DosPrint"="no"
• "load"=""
• "NetMessage"="no"
• "NullPort"="None"
• "Programs"="com exe bat pif cmd"
• "run"="RAVMOND.exe"

Folgender Registryschlüssel wird geändert:
– [HKCR\exefile\shell\open\command]
Alter Wert:
• @="\"%1\" %*"
Neuer Wert:
• @="%SYSDIR%\winexe.exe \"%1\" %*"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!