Conficker nicht zu stoppen:
>>>weiter
>>>Conficker.A - Sicherheitspatch
Conficker nicht zu stoppen:
>>>weiter
>>>Conficker.A - Sicherheitspatch
Geändert von Deisic (18.02.09 um 15:44 Uhr)
Mytob.CR3 19.02.2009
Verbreitung:--->*****
Schaden:------->*****
Der Wurm Mytob.CR3 ist per E-Mail unterwegs. Der Trojaner versteckt sich im Anhang der E-Mail, die Bankdokumente enthalten
soll. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein Informationen von einer
Bank präsentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Here are your banks documents”
Dateianhang: „document.txt.exe“.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird folgende Datei erstellt:
– C:\hellmsn.exe
Die folgenden Registryschlüssel werden hinzugefügt:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
• "WsTask" = "task32.exe"
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"
– HKCU\Software\Microsoft\OLE
• "WsTask" = "task32.exe"
– HKLM\SOFTWARE\Microsoft\Ole
• "WsTask" = "task32.exe"
– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
Es gibt nichts Gutes, außer man tut es.
(This Posting was sent using 100% recycled electrons.)
Faulheit kann man beseitigen... suchen hilft klickit
Google Ist Dein Freund
Soccer.B 20.02.2009
Verbreitung:--->*****
Schaden:------->*****
Die ersten Karten für die Weltmeisterschaft 2010 in Südafrika sind erhältlich und können über das Internet bestellt werden.
Das versucht der Wurm Soccer.B auszunutzen und lockt mit angeblich verbilligten Eintrittskarten für das Fußball-Event in Südafrika.
Im Anhang der E-Mail befinden sich natürlich keine Informationen über die Eintrittskarten zum Schnäppchenpreis, stattdessen
installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Reduced in price: Tickets for the world championship 2010 in South Africa”
Dateianhang: „Tickets.txt.exe“.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows Systemverzeichnis:
• %SYSDIR%msctools.exe
Folgende Einträge in der Windows Registry werden angelegt:
– [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
• "nsdevice"="%SYSDIR%msctools.exe"
– [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
• "nsdevice"="%SYSDIR%msctools.exe"
– [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces]
• "nsdevice"="%SYSDIR%msctools.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang
Es gibt nichts Gutes, außer man tut es.
(This Posting was sent using 100% recycled electrons.)
Faulheit kann man beseitigen... suchen hilft klickit
Google Ist Dein Freund
Crypt.XPACK.Gen9 23.02.2009
Verbreitung:--->*****
Schaden:------->*****
Der Trojaner Crypt.XPACK.Gen9 ist per E-Mail unterwegs und lockt mit Fotos von der 81. Oscarverleihung.
Angeblich sollen in der gepackten Datei die schlimmsten Modesünden der geladenen Prominenten enthalten sein.
Und das ist natürlich gelogen: Im Anhang der E-Mail befinden sich natürlich keine Bilder von schlecht gekleideten Stars,
stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Fashionable Tops and flops of the OSCAR night”
Dateianhang: „Fashion.zip.exe“.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip
Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
Es gibt nichts Gutes, außer man tut es.
(This Posting was sent using 100% recycled electrons.)
Faulheit kann man beseitigen... suchen hilft klickit
Google Ist Dein Freund