Stration.F 04.02.2010

Verbreitung:--->*****
Schaden:------>*****

Stration.F ist per E-Mail unterwegs. Der Wurm versteckt sich hinter einer angeblich nicht zugestellten E-Mail.
Die versendete E-Mail wurde von der Firewall des Empfängers geblockt, so heißt es. Angeblich war die E-Mail mit einem Wurm infiziert.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die abgewiesene E-Mail, sondern der Wurm dringt in das betreffende System ein!

Die E-Mail hat folgendes Aussehen

Betreff: „Mail server report“.

Dateianhang: „Update-KB%Nummer%-x86.zip.exe“.

E-Mail-Text: „Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer.
Please install updates for worm elimination and your computer restoring. Best regards, Customers support service”.

Dateigröße: 101.376 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird versucht folgende Datei zu laden:

– Die URL ist folgende:
• www4.rasetikuinyunhderunsa.com/chr/859/**********

Diese wird lokal gespeichert unter: %TEMPDIR%\~%Nummer%.tmp und anschließend ausgeführt.
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
%WINDIR%\cserv32.dat
%WINDIR%\cserv32.z
%WINDIR%\cserv32.wax
%SYSDIR%\e1.dll

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "cserv32"="%WINDIR%\cserv32.exe s"

Folgende Einträge werden in der Registry geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
Alter Wert:
• "AppInit_DLLs"=""
Neuer Wert:
• "AppInit_DLLs"="e1.dll"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!