HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Mytob.CR3 19.02.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Mytob.CR3 ist per E-Mail unterwegs. Der Trojaner versteckt sich im Anhang der E-Mail, die Bankdokumente enthalten
soll. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein Informationen von einer
Bank präsentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Here are your banks documents”

Dateianhang: „document.txt.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgende Datei erstellt:

– C:\hellmsn.exe

Die folgenden Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
• "WsTask" = "task32.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"

– HKCU\Software\Microsoft\OLE
• "WsTask" = "task32.exe"

– HKLM\SOFTWARE\Microsoft\Ole
• "WsTask" = "task32.exe"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Soccer.B 20.02.2009


Verbreitung:--->*****
Schaden:------->*****

Die ersten Karten für die Weltmeisterschaft 2010 in Südafrika sind erhältlich und können über das Internet bestellt werden.
Das versucht der Wurm Soccer.B auszunutzen und lockt mit angeblich verbilligten Eintrittskarten für das Fußball-Event in Südafrika.
Im Anhang der E-Mail befinden sich natürlich keine Informationen über die Eintrittskarten zum Schnäppchenpreis, stattdessen
installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Reduced in price: Tickets for the world championship 2010 in South Africa”

Dateianhang: „Tickets.txt.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows Systemverzeichnis:
• %SYSDIR%msctools.exe

Folgende Einträge in der Windows Registry werden angelegt:

– [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
• "nsdevice"="%SYSDIR%msctools.exe"

– [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
• "nsdevice"="%SYSDIR%msctools.exe"

– [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces]
• "nsdevice"="%SYSDIR%msctools.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang

[Ham-Master]

Crypt.XPACK.Gen9 23.02.2009


Verbreitung:--->*****
Schaden:------->*****

Der Trojaner Crypt.XPACK.Gen9 ist per E-Mail unterwegs und lockt mit Fotos von der 81. Oscarverleihung.
Angeblich sollen in der gepackten Datei die schlimmsten Modesünden der geladenen Prominenten enthalten sein.
Und das ist natürlich gelogen: Im Anhang der E-Mail befinden sich natürlich keine Bilder von schlecht gekleideten Stars,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Fashionable Tops and flops of the OSCAR night”

Dateianhang: „Fashion.zip.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System

Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!