HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

MuJoin.AG 13.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner MuJoin.AG ist wieder per E-Mail mit einer angeblichen Antwort von einer Kontaktanzeige bei single.de unterwegs.
Die Absenderin der E-Mail mit dem Vornamen „Simone“ behauptet, schon seit längerer Zeit nach netten Kontakten für Freizeit, Hobbys und Erotik zu suchen.
Ein Bild von Simone könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Foto angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Hallo von Simone“.

Dateianhang: Foto-Simone.com.exe

Größe des Dateianhangs: 106.464 Bytes.

E-Mail-Text:
„Hallo,
Deine Kontaktanzeige bei single.de fand ich toll, auch
Dein Bild und Deine Vorstellungen.
Ich suche auch schon seit längerer Zeit nach netten Kontakten,
für Freizeit, Hobbys und Erotik.
Ich schicke mal ein Bild von mir mit, wenn Du Interesse hast,
melde Dich, damit wir ein Treffen vereinbaren können.
Gern mit Tel. Nummer.
Bild von mir im Anhang.
Bis bald, Simone“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Es wird folgende Datei erstellt:
– %home%\Local Settings\Temp.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Dldr.iBill.X 15.05.2009

Verbreitung:--->*****
Schaden:------>*****

Zurzeit werden E-Mails versandt, die angeblich von Amazon stammen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 1.215 Euro für einen bestellten Laptop hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang steckt natürlich keine Rechnung, sondern ein heimtückischer Trojaner, der das betreffende System infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihre Bestellung 2984931 bei Amazon.de“.

Dateianhang: „Rechnung.doc.zip“

E-Mail-Text: „Vielen Dank fur Ihre Bestellung bei Amazon.de!
Das Sony VAIO Notebook wird in Kürze versendet. Die Kosten von 1215,- Euro werden Ihrem Konto zu Last gelegt.
Die Einzelheiten zu Ihrer Bestellung entnehmen Sie bitte der angefügten Rechnung.
Falls Sie die Bestellung stornieren möchten, bitte den in der Rechnung angegebenen, kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten.
Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen schriftlich zugestellt.“

Virus: Dldr.iBill.X

Virustyp: Trojaner

Dateigröße: 12.800 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Crypt.XPACK.Gen10 18.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Crypt.XPACK.Gen10 ist per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben.
Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Adresse des Absenders*: xiaody@vanke.com
* Bitte beachten Sie, dass die Absender-Adresse häufig gefälscht ist, es sich also meist nicht um den Urheber der schadhaften E-Mail handelt.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob.22 20.05.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Mytob.22 ist wieder verstärkt unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff – einer der folgenden:
• Mail delivery failed: returning message to sender
• Mail Delivery System
• Mail Transaction Failed
• Delivery Status Notification (Failure)
• Returned mail: see transcript for details

Dateianhang: details.txt.exe.

E-Mail-Text – einer der folgenden:
• „Mail transaction failed. Partial message is available.“
• „The following addresses had permanent fatal errors.”
• „The message you sent to sigil777.com/trash50534137 was rejected because the quota for the mailbox has been exceeded.”
• „A message that you sent could not be delivered to one or more of its recipients. The following addresses failed: karlykay@rs-kartcenter.de”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!