HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

iBill.BR5 16.04.2009


Verbreitung:--->*****
Schaden:------->*****

Der Trojaner iBill.BR5 ist wieder per E-Mails unterwegs.
Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu
verleiten, die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt
natürlich keine Daten von einer Abrechnung, sondern der Trojaner selbst,
der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Abrechnung 213851614859“.

Dateianhang: Unterschiedlich

E-Mail-Text: Unterschiedlich

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie
vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders
gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

TR/Dldr.iBill.Y 17.04.2009
Verbreitung:--->*****
Schaden:------>*****
E-Mails verstopfen zurzeit die Postfächer, die angeblich von Quelle.de stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang steckt natürlich keine Rechnung, sondern ein Trojaner, der das betreffende System infizieren will.
Die angebliche E-Mail von Quelle.de hat folgendes Aussehen:
Betreff: „Ihre Quelle Bestellung“.
Dateianhang: „Quelle_Rechnung_nqan599.rar.exe“
E-Mail-Text: „Wir bestätigen Ihnen den Eingang Ihrer Bestellung, Vorgangs-ID: 611661716631
Verarbeitungscode: ART 0805491165855906868717073885505998909
Kundennummer: 469391344
Sehr geehrte Quelle Kunde,
vielen Dank für Ihre Bestellung bei www.quelle.de. Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.
Die Gesamtsumme für Ihre Rechnung beträgt: 1.071,46 Euro (incl. Versandspesen: EUR 5,95).
Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei…“
Virus: TR/Dldr.iBill.Y
Virustyp: Trojaner
Dateigröße: 16.896 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\isca.exe
Es wird folgende Datei erstellt:
• %SYSDIR%\drivers\wed.tx
Registry: Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "ShellN"="isca.exe"
Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "wef"=dword:00000037
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.Q2 20.04.2009

Verbreitung:--->*****
Schaden:------>*****

Seit gestern Abend ist eine neue Sober-Variante unterwegs.
Sie wurde heute Nacht in englischer Sprache per E-Mail verschickt.
Im Anhang enthält die E-Mail eine ZIP-Datei, mit der Bezeichnung „pword_change.zip“, die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q2 ein Meldungsfenster mit dem Text „Error in packed file“ und „CRC header must be $7ff8“.
Anschließend installiert sich der Wurm im betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Fwd: Klassentreffen“ oder „Your new Password“

Dateianhang: ZIP-Archiv mit der Bezeichnung „pword_change.zip“

E-Mail-Text: Your password was successfully changed! Please see the attached file for detailed information.

Virus: Sober.Q2

Virustyp: Wurm

Dateigröße: 113.551 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx (Dateigröße: 0 Bytes)

Folgende Einträge werden der Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails
von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!