Wurm Lovgate.Z
Verbreitung: *****
Schaden: *****
der Wurm Lovgate.Z ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen:
Betreff: Attached one Gift for u
Der Dateiname des Anhangs: enjoy.exe
Größe des Dateianhangs: 179.200 Bytes
E-Mail-Text: Send me your comments
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System:
Kopien seiner selbst werden hier erzeugt:
%SYSDIR%\WinDriver.exe
%SYSDIR%\Winexe.exe
%SYSDIR%\WinGate.exe
%SYSDIR%\RAVMOND.exe
%SYSDIR%\IEXPLORE.EXE
%TEMPDIR%\%zufällige Buchstabenkombination%
c:\SysBoot.EXE
%WINDIR%\SYSTRA.EXE
%SYSDIR%\WinHelp.exe
Es werden folgende Dateien erstellt:
c:\AUTORUN.INF
Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
[AUTORUN]
Open="C:\SysBoot.EXE" /StartExplorer
%SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
[HKLM\software\microsoft\windows\currentversion\run \]
"WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
"Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
"WinHelp"="%SYSDIR%\WinHelp.exe"
"Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
[HKLM\software\microsoft\windows\currentversion\run services\]
"SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"
Folgender Registryschlüssel wird hinzugefügt:
[HKCU\software\microsoft\windows nt\currentversion\windows\]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"load"=""
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"run"="RAVMOND.exe"
Folgender Registryschlüssel wird geändert:
[HKCR\exefile\shell\open\command]
Alter Wert:
@="\"%1\" %*"
Neuer Wert:
@="%SYSDIR%\winexe.exe \"%1\" %*"
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!