Wurm Tearec.AZF
Verbreitung: *****
Schaden: *****
der Wurm Tearec.AZF ist per E-Mail unterwegs und lockt mit einem angeblichen Video von Nicole Kidman. Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Video angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen:
Betreff: Nicole Kidman video - you must view this videoclip
Dateiname: Video_part.mim
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: Please see the video
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System:
Kopien seiner selbst werden hier erzeugt:
%WINDIR%\Rundll16.exe
%SYSDIR%\scanregw.exe
C:\WINZIP_TMP.exe
%SYSDIR%\Update.exe
%SYSDIR%\Winzip.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschrieben:
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
%alle Verzeichnisse%
Dateiendungen:
.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
Mit folgendem Inhalt:
DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
%PROGRAM FILES%\DAP\*.dll
%PROGRAM FILES%\
LimeWire\LimeWire 4.2.6\LimeWire.jar
%PROGRAM FILES%\BearShare\*.dll
%PROGRAM FILES%\Morpheus\*.dll
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\CA\
eTrust EZ Armor\eTrust EZ Antivirus\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2003\*.exe
%PROGRAM FILES%\
Common Files\symantec shared\*.*
%PROGRAM FILES%\Symantec\
Common Files\Symantec Shared\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.*
%PROGRAM FILES%\
Norton AntiVirus\*.exe
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal Pro\*.*
%PROGRAM FILES%\
Alwil Software\Avast4\*.exe
%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\VSO\*.exe
%PROGRAM FILES%\
McAfee.com\shared\*.*
%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\VSO\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*
%PROGRAM FILES%\NavNT\*.*
%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.exe
%PROGRAM FILES%\
Norton AntiVirus\*.*
%PROGRAM FILES%\
Trend Micro\Internet Security\*.exe
%PROGRAM FILES%\
Panda Software\Panda Antivirus 6.0\*.*
%PROGRAM FILES%\NavNT\*.exe
%PROGRAM FILES%\Panda Software\
Panda Antivirus Platinum\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.ppl
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.exe
%PROGRAM FILES%\
Trend Micro\Internet Security\*.*
%PROGRAM FILES%\Grisoft\AVG7\*.dll
%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.*
%PROGRAM FILES%\
TREND MICRO\OfficeScan\*.dll
%PROGRAM FILES%\
Trend Micro\PC-cillin 2003 \*.*
%PROGRAM FILES%\
Trend Micro\OfficeScan Client\*.exe
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
PCCIOMON.exe
kaspersky
SECUR
pccguide.exe
TM Outbreak Agent
NPROTECT
Pop3trap.exe
AVG7_Run
ccApp
PccPfw
AVG_CC
ScriptBlocking
tmproxy
Avgserv9.exe
MCUpdateExe
McAfeeVirusScanService
AVGW
VirusScan Online
NAV Agent
AVG7_CC
MCAgentExe
PCCClient.exe
AVG7_EMC
VSOCheckTask
SSDPSRV
Vet Alert
McRegWiz
rtvscn95
VetTray
MPFExe
defwatch
OfficeScanNT Monitor
MSKAGENTEXE
vptray
avast!
MSKDetectorExe
ScanInicio
PANDA
McVsRte
APVXDWIN
DownloadAccelerator
PCClient.exe
KAVPersonal50
BearShare
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
PCCIOMON.exe
kaspersky
SECUR
pccguide.exe
TM Outbreak Agent
NPROTECT
Pop3trap.exe
AVG7_Run
ccApp
PccPfw
AVG_CC
ScriptBlocking
tmproxy
Avgserv9.exe
MCUpdateExe
McAfeeVirusScanService
AVGW
VirusScan Online
NAV Agent
AVG7_CC
MCAgentExe
PCCClient.exe
AVG7_EMC
VSOCheckTask
SSDPSRV
Vet Alert
McRegWiz
rtvscn95
VetTray
MPFExe
defwatch
OfficeScanNT Monitor
MSKAGENTEXE
vptray
avast!
MSKDetectorExe
ScanInicio
PANDA
McVsRte
APVXDWIN
DownloadAccelerator
PCClient.exe
KAVPersonal50
BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
SOFTWARE\Symantec\InstalledApps
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\Components\101
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
"WebView"=dword:00000000
"ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\CabinetState]
Neuer Wert:
"FullPath" = dword:00000001
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!