HIER Viren- & Trojanerwarnungen posten!

[bletz]

21.07.2009

Verbreitung:
....Schaden:

Der Trojaner Crypt.XPACK.Gen10 ist per E-Mail unterwegs. Im Mittelpunkt steht ein angebliches Video mit der beliebten Moderatorin Erin Andrews des US-Sportsenders ESPN. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein Video präsentiert, stattdessen installiert sich der Trojaner auf dem betreffenden System und nimmt Kontakt mit einem Server auf. Anschließend versucht der Trojaner Zugangsdaten für Onlinebanking und Kreditkartennummern auszuspähen.

Die E-Mail hat folgendes Aussehen

Betreff: „Erin Andrews Free Video”

Dateianhang: „video.avi.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

Quelle.Virenticker

[Ham-Master]

Netsky.D.Dbm 23.07.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Netsky.D.Dbm verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff:
• Re: Approved; Re: Details; Re: Document; Re: Excel file; Re: Hello;
Re: Here; Re: Here is the document; Re: Hi; Re: My details; Re: Re:
Document; Re: Re: Message; Re: Re: Re: Your document; Re: Re: Thanks!;
Re: Thanks!; Re: Word file; Re: Your archive; Re: Your bill; Re: Your
details; Re: Your document; Re: Your letter; Re: Your music; Re: Your
picture; Re: Your product; Re: Your software; Re: Your text; Re: Your
website

Dateianhang:
• all_document.pif; application.pif; document.pif; document_4351.pif;
document_excel.pif; document_full.pif; document_word.pif;
message_details.pif; message_part2.pif; mp3music.pif; my_details.pif;
your_archive.pif; your_bill.pif; your_details.pif; your_document.pif;
your_file.pif; your_letter.pif; your_picture.pif; your_product.pif;
your_text.pif; your_website.pif; yours.pif

Größe des Dateianhangs: 17.424 Bytes.

E-Mail-Text:
• Your file is attached.
• Please read the attached file.
• Please have a look at the attached file.
• See the attached file for details.
• Here is the file.
• Your document is attached.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!