HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Ink.b 06.08.2010

Verbreitung:--->*****
Schaden:------>*****

Eine neue Spam-Welle versucht ahnungslosen Anwendern einen Trojaner unterzuschieben.
In der E-Mail wird behauptet, 750 Euro seien vom Konto des Empfängers abgebucht worden.
Nähere Details könne man dem beigefügten Anhang entnehmen.
In dem Anhang steckt natürlich keine Auflistung des abgebuchten Geldbetrags,
sondern der heimtückische Trojaner Ink.b, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen

Betreff: Abbuchung erfolgt

Dateianhang: Rechnung.zip

E-Mail-Text: „Es wurden 750 Euro von Ihrem Konto abgebucht. Die Auflistung der Kosten finden Sie im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

MuJoin.AG 11.08.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner MuJoin.AG ist wieder per E-Mail mit einer angeblichen Antwort von einer Kontaktanzeige bei single.de unterwegs.
Die Absenderin der E-Mail mit dem Vornamen Marie behauptet, schon seit längerer Zeit nach netten Kontakten für Freizeit, Hobbys und mehr zu suchen.
Ein Bild von der Dame könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Foto angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Hallo von Marie“.

Dateianhang: Foto- Marie.jpg.exe

Größe des Dateianhangs: 117.327 Bytes.

E-Mail-Text: „Hallo, Deine Kontaktanzeige bei single.de fand ich toll, auch Dein Bild und Deine Vorstellungen…“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgende Datei erstellt:
– %home%\Local Settings\Temp.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dldr.Tiny7 13.08.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Dldr.Tiny7 ist per E-Mail unterwegs und lockt mit einem angeblichen Paket das von UPS versendet wird.
Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Ihr UPS Paket N5277746143

Größe des Dateianhangs: 2.139 Bytes

E-Mail-Text unterschiedlich – meist: Ihr UPS Paket N5277746143. Weitere Informationen zum Versandstatus des Pakets finden Sie im Anhang.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird versucht die folgenden Dateien herunter zuladen:

– Die URL ist folgende:
• http://www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

– Die URL ist folgende:
• http://www.abetterstart.com/c/2000/**********

Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dropper.N 17.08.2010

Verbreitung:--->*****
Schaden:------>*****

Zurzeit ist der Trojaner Dropper.N per E-Mail unterwegs. Mit einem angeblichen Bußgeldbescheid von der Straßenaufsicht,
versucht der Trojaner sich auf dem betreffenden System zu installieren. Der Text verweist auf einen Link in der E-Mail, den man öffnen soll.
Wenn Sie den Link anklicken, erscheint kein Bußgeldbescheid, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Betreff: Bußgeldbescheid von der Straßenaufsicht.

E-Mail-Text: „Sehr geehrte(r) Frau/Herr ,

unter dem Aktenzeichen DR-10/07-2511 wird gegen Sie ein Verfahren
eingeleitet!

Die Gründe und näheren Umstände zu den Ihnen gemachten Vorwürfen
finden Sie hier:

http ://nl.cxxxxxxxxxxxxxxxxxxx. htm

Mit freundlichen Grüßen

Ihre Straßenaufsicht“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgende Datei erstellt und ausgeführt:
– %TEMPDIR%\tassvhost.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.F 19.08.2010

Verbreitung:--->*****
Schaden:------>*****

Der altbekannte Wurm Sober.F ist wieder per E-Mail unterwegs und verstopft die Postfächer.
In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind. Nähere Informationen
über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Warnung!

Dateianhang: Schwarze-Liste

Größe des Dateianhangs: 42.496 Bytes

E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

• %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32

Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Ryknos2 20.08.2010

Verbreitung:--->*****
Schaden:------>******

Zurzeit ist der Trojaner Ryknos2 unterwegs, der die Eigenschaften eines Rootkits besitzt.
Rootkits sind hinterhältig. Denn Sie manipulieren Ihr System nach der Installation so,
dass Sie den schädlichen Code der Kits nicht sehen und damit auch nicht beseitigen können.

Die E-Mail hat folgendes Aussehen

Betreff: Message for you

Dateianhang: Message.exe.pdf

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Nach dem Ausführen kopiert sich der Trojaner in den Windows-Ordner mit dem Dateinamen $sys$drv.exe und legt folgenden Eintrag in der Registry an.

[HKEY_CURRENT_USER%variabel%]
"$sys$drv"="$sys$drv.exe"

Der Trojaner Ryknos.A kann sich zu unterschiedlichen Servern über den Port 8080 verbinden lassen. Der Trojaner versucht dann dem „Sony“-
Channel mit der Bezeichnung "[0000-XP]%variabel%" beizutreten. Damit kann der Trojaner durch den Kopierschutz XCP unerkannt eine Hintertür für weitere Angriffe öffnen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Chir.p 21.08.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Chir.p verbreitet sich zurzeit per E-Mail. Der Wurm versucht mit Betreffzeilen, die auf pornographische Inhalte schließen lassen,
den Empfänger zum Öffnen auf den beigefügten Anhang zu verführen. Nach dem Doppelklick auf die scheinbare Grafikdatei, erscheint dann kein Bild,
sondern der Wurm installiert sich auf dem betreffenden System.
Der Wurm löscht dann wichtiger Dateien des installierten Anti-Viren-Programms, um sich selbst vor Entdeckung zu schützen.
Anschließend missbraucht er das infizierte System, um sich selbst weiter zu versenden.

Die E-Mail hat folgendes Aussehen

Betreff: "Hot Movie", "Great Video", "SeX.mpg", "Sexy", "Crazy illegal Sex!", "Photos", "School girl fantasies gone bad"

Dateianhang: "Adults_9,zip.sCR", "Clipe,zip.sCr", "New Video,zip", "Photos,zip.sCR", oder "School.pif".

E-Mail-Text: "Re: Sex Video", "i just any one see my photos.", "It's Free :)", "VIDEOS! FREE! (US$ 0,00)"

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe

Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!