HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Tration.Gen 25.08.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Tration.Gen ist massiv per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird.
Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Klick auf den Link in der E-Mail, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Von: Webmaster.de

Betreff: Ihre Email-Adresse DEACTIVATION ACHTUNG!

Body: „Lieber Kontoinhaber,
diese Meldung wird von unserer ********n Datenbank Messaging-Center für
alle unseren E-Mail-Kontoinhabern. Das Office of Information Technology
wird in den Prozess der Migration aller E-Mail-Konten aktualisiert
******** E-Mail-Dienste. Wir löschen alle nicht verwendeten
E-Mail-Konten, um mehr Raum für neue Konten erstellen.
Um zu verhindern, von Ihrem Konto geschlossen wird, müssen Sie die unten
angegebenen Informationen zu aktualisieren, so dass wir sicher sein,
dass Ihr Account noch aktiv ist derzeit bieten.
Bestätigen Sie Ihre E IDENTITY unten:
E-Mail-Benutzername: .......... .....
E-Mail-Passwort: ................
Lage: ................
Warnung! Kontoinhaber, die seine oder ihre E-Mail-Konto innerhalb 10days
nach Erhalt dieser Warnung wird seine oder ihre E-Mail-Konto dauerhaft
verlieren Update verweigert.
Danke für die Benutzung unserer Webmail-Diensten
Warnung Code: VX2G99AAJ
Mit freundlichen Grüßen,
Webmaster Team.”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

TR/Dldr.iBill.T 27.08.2010

Verbreitung:--->*****
Schaden:------>*****

Zurzeit werden E-Mails versandt, die angeblich von dem schwedischen Möbelhaus Ikea stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von knapp 400 Euro hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung,
sondern ein heimtückischen Trojaner TR/Dldr.iBill.T, der das betreffende System infiziert.
Eine genaue Beschreibung des digitalen Schädlings und Maßnahmen, wie Sie sich schützen können, finden Sie hier.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihre IKEA Rechnung“.

Dateianhang: „Rechnung.pdf.exe“

E-Mail-Text: „Sehr geehrter IKEA Kunde, im Anhang finden Sie vorab Ihre Rechnung über 400 Euro. Diese wird Ihnen zusätzlich per Post zugesandt.”

Dateigröße: 35.840 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.DS 30.08.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober.DS verbreitet sich zurzeit wieder per E-Mail. Der Wurm versucht Sie mit Betreffzeilen, die das Schließen Ihres E-Mail-Anschluss androhen,
zum Öffnen des beigefügten Anhangs zu verführen. Nach dem Entpacken des Anhangs und einem Doppelklick auf die scheinbare Textdatei,
erscheinen dann keine Informationen, sondern der Wurm installiert sich auf Ihrem System.
Der Wurm blockiert dann das installierte Anti-Viren-Programm, um sich vor der Entdeckung zu schützen.
Anschließend missbraucht er das infizierte System, um sich selbst weiter zu versenden.

Die E-Mail hat folgendes Aussehen

Betreff: "WARNING* Your Email Account Will Be Closed", "Email Account Suspension", "Notice: *** Last Warning *** ", "Your Email Account is Suspended For Security Reasons", "Account Alert" oder "Important Notification".

Dateianhang: "email-info.zip", "email-doc.zip", "account-details.zip" oder "information.zip".

Größe des Dateianhangs: 49.790 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

• %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32

Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.Q2 02.09.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober.Q2 ist verstärkt per E-Mail unterwegs. Im Anhang enthält die E-Mail eine ZIP-Datei,
mit der Bezeichnung „pword_change.zip“, die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q2 ein Meldungsfenster mit dem Text
„Error in packed file“ und „CRC header must be $7ff8“. Anschließend installiert sich der Wurm im betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Your new Password“

Dateianhang: ZIP-Archiv mit der Bezeichnung „pword_change.zip“

E-Mail-Text: Your password was successfully changed! Please see the attached file for detailed information.

Dateigröße: 113.551 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx (Dateigröße: 0 Bytes)

Folgende Einträge werden der Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob.A 06.09.2010


Verbreitung:--->*****
Schaden:------>*****

Zurzeit ist der Wurm Mytob.A wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail,
die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich
der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Mail Delivery System”

Dateianhang: „body.zip.exe“.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Klez.E7 10.09.2010

Verbreitung:--->*****
Schaden:------>*****

Zurzeit werden E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang stecken natürlich keine Informationen über den Abbuchungsauftrag,
sondern der heimtückische Wurm Klez.E7, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen

Betreff: Vertrag

Dateianhang: Rechnung.rar

Größe des Dateianhangs: 65 KByte.

E-Mail-Text: „Sehr geehrte Kundin, sehr geehrte Kunde,
Ihr Abbuchungsauftrag wurde erfüllt.
Sie finden die Details zu der Rechnung im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

Es werden folgende Dateien erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben,
dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C

Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!