HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

TR/Dldr.iBill.Y 17.04.2009
Verbreitung:--->*****
Schaden:------>*****
E-Mails verstopfen zurzeit die Postfächer, die angeblich von Quelle.de stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang steckt natürlich keine Rechnung, sondern ein Trojaner, der das betreffende System infizieren will.
Die angebliche E-Mail von Quelle.de hat folgendes Aussehen:
Betreff: „Ihre Quelle Bestellung“.
Dateianhang: „Quelle_Rechnung_nqan599.rar.exe“
E-Mail-Text: „Wir bestätigen Ihnen den Eingang Ihrer Bestellung, Vorgangs-ID: 611661716631
Verarbeitungscode: ART 0805491165855906868717073885505998909
Kundennummer: 469391344
Sehr geehrte Quelle Kunde,
vielen Dank für Ihre Bestellung bei www.quelle.de. Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.
Die Gesamtsumme für Ihre Rechnung beträgt: 1.071,46 Euro (incl. Versandspesen: EUR 5,95).
Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei…“
Virus: TR/Dldr.iBill.Y
Virustyp: Trojaner
Dateigröße: 16.896 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\isca.exe
Es wird folgende Datei erstellt:
• %SYSDIR%\drivers\wed.tx
Registry: Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "ShellN"="isca.exe"
Folgender Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "wef"=dword:00000037
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.Q2 20.04.2009

Verbreitung:--->*****
Schaden:------>*****

Seit gestern Abend ist eine neue Sober-Variante unterwegs.
Sie wurde heute Nacht in englischer Sprache per E-Mail verschickt.
Im Anhang enthält die E-Mail eine ZIP-Datei, mit der Bezeichnung „pword_change.zip“, die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q2 ein Meldungsfenster mit dem Text „Error in packed file“ und „CRC header must be $7ff8“.
Anschließend installiert sich der Wurm im betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Fwd: Klassentreffen“ oder „Your new Password“

Dateianhang: ZIP-Archiv mit der Bezeichnung „pword_change.zip“

E-Mail-Text: Your password was successfully changed! Please see the attached file for detailed information.

Virus: Sober.Q2

Virustyp: Wurm

Dateigröße: 113.551 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx (Dateigröße: 0 Bytes)

Folgende Einträge werden der Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.ex e"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails
von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!