HIER Viren- & Trojanerwarnungen posten!

**derechtegoldi** · 19.02.11

Wurm Traxgy.B5

Verbreitung: *****

Schaden: *****

der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer. Im Anhang befindet sich ein angebliches Dokument. Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen. Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet, stattdessen installiert sich der Wurm auf dem System.

Die E-Mail hat folgendes Aussehen:

Betreff: %chinesischer Text%

Dateianhang: Document

Die Dateierweiterung ist eine der folgenden: .exe

Größe des Dateianhangs: 57.344 Bytes

E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

A:\Explorer.EXE
A:\WINDOWS.EXE
%Laufwerk%:\WINDOWS.EXE
%Laufwerk%:\ghost.bat
%alle Verzeichnisse%\%aktueller Verzeichnisname%.exe
Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:

An: %WINDIR%\\system\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\fonts\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\\temp\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\help\Mit einem der folgenden Namen:
\%Hexadezimale Zahl%.com
Es werden folgende Dateien erstellt:

Nicht virulente Datei:
%alle Verzeichnisse%\desktop.ini
A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
%Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
%alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com
Der Wert des folgenden Registry-Schlüssels wird gelöscht:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
KaV300XP
Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\CabinetState]
Alter Wert:
fullpath = %Einstellungen des Benutzers%
Neuer Wert:
fullpath = dword:00000001
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]

Alter Wert:
HideFileExt = %Einstellungen des Benutzers%
Hidden = %Einstellungen des Benutzers%

Neuer Wert:
HideFileExt = dword:00000001
Hidden = dword:00000000
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Letzte Themen:

Thema: HIER Viren- & Trojanerwarnungen posten!

Themen-Optionen

Thema durchsuchen

Anzeige

Baum-Darstellung

Ähnliche Themen

Wahnsinn, wo darr ich posten???

Was ist was? Begriffserläuterungen zu Viren & Co.

Computer vor Bot-Viren schützen

PW-Star-News hier posten!!

Keine Imei Posten ---- hier lesen!!

Berechtigungen