Trojaner Crypt.XPACK.Gen14


Verbreitung: *****

Schaden: *****

der Trojaner Crypt.XPACK.Gen14 ist per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%home%\Application Data\hidn\hldrrr.exe
%home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

c:\temp.zip
Es wird folgende Datei erstellt:

c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt: Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\Software\FirstRun]
FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
Start = %Einstellungen des Benutzers%
Neuer Wert:
Start = 4
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!