HIER Viren- & Trojanerwarnungen posten!

[bletz]

18.08.2009

Virus : Lovgate.C

Verbreitung:
....Schaden:

Der Wurm Lovgate.C ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Attached one Gift for u.

Der Dateiname des Anhangs: enjoy.exe

Größe des Dateianhangs: 179.200 Bytes

E-Mail-Text: Send me your comments.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\WinDriver.exe
• %SYSDIR%\Winexe.exe
• %SYSDIR%\WinGate.exe
• %SYSDIR%\RAVMOND.exe
• %SYSDIR%\IEXPLORE.EXE
• %TEMPDIR%\%zufällige Buchstabenkombination%
• c:\SysBoot.EXE
• %WINDIR%\SYSTRA.EXE
• %SYSDIR%\WinHelp.exe

Es werden folgende Dateien erstellt:
– c:\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• [AUTORUN]
Open="C:\SysBoot.EXE" /StartExplorer
– %SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
– [HKLM\software\microsoft\windows\currentversion\run \]
• "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
• "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
• "WinHelp"="%SYSDIR%\WinHelp.exe"
• "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
– [HKLM\software\microsoft\windows\currentversion\run services\]
• "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\software\microsoft\windows nt\currentversion\windows\]
• "DebugOptions"="2048"
• "Documents"=""
• "DosPrint"="no"
• "load"=""
• "NetMessage"="no"
• "NullPort"="None"
• "Programs"="com exe bat pif cmd"
• "run"="RAVMOND.exe"

Folgender Registryschlüssel wird geändert:
– [HKCR\exefile\shell\open\command]
Alter Wert:
• @="\"%1\" %*"
Neuer Wert:
• @="%SYSDIR%\winexe.exe \"%1\" %*"

Quelle.Virenticker

[Ham-Master]

Paypal.C 21.08.2009

Verbreitung:--->*****
Schaden:------>*****

„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen.
Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet,
erhält man jedoch keine Informationen über die Forderung.
Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Rechnung“ oder „Lastschrift“

E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe

Es wird folgende Datei erstellt:
– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer. exe"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Sober.AB7 23.08.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober ist per E-Mails unterwegs.
Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto,
sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihr Account wurde eingerichtet!“.

Dateianhang: Service.pdf.exe

E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“

Virus: Sober.AB7

Virustyp: Wurm

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob 25.08.2009

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Mytob ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – einer der folgenden:
Mail delivery failed: returning message to sender
Mail Delivery System
Mail Transaction Failed
Delivery Status Notification (Failure)
Returned mail: see transcript for details

Dateianhang: details.txt.exe

E-Mail-Text – einer der folgenden:
„Mail transaction failed. Partial message is available.“
„The following addresses had permanent fatal errors.”
„The message you sent to sigil777.com/trash50534137 was rejected because the quota for the mailbox has been exceeded.”
„A message that you sent could not be delivered to one or more of its recipients. ”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!