HIER Viren- & Trojanerwarnungen posten!

[Ham-Master]

Bagle.FJ 17.02.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Bagle.FJ ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich einen freizügigen Bildschirmschoner enthalten soll.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keinen Bildschirmschoner.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – einer der folgenden:
• Gwd: Msg reply; Gwd: Hello :-); Gwd: Yahoo!!!; Gwd: Thank you!; Gwd:
Thanks :); Gwd: Text message; Gwd: Document; Gwd: Incoming message;
Gwd: Incoming Message; Gwd: Incoming Msg; Gwd: Message Notify; Gwd:
Notification; Gwd: Changes..; Gwd: Update; Gwd: Fax Message; Gwd:
Protected message; Gwd: Protected message; Gwd: Forum notify; Gwd:
Site changes; Gwd: Hi; Gwd: crypted document

Dateianhang: XXX_livebabes.scr

E-Mail-Text – einer der folgenden:
• Ok. Read the attach.
• Ok. Your file is attached.
• Ok. More info is in attach
• Ok. See attach.
• Ok. Please, have a look at the attached file.
• Ok. Your document is attached.
• Ok. Please, read the document.
• Ok. Attach tells everything.
• Ok. Attached file tells everything.
• Ok. Check attached file for details.
• Ok. Check attached file.
• Ok. Pay attention at the attach.
• Ok. See the attached file for details.
• Ok. Message is in attach
• Ok. Here is the file.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Der folgende Port wird geöffnet:

– windspl.exe am TCP Port 6777 um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
• http://ijj.**********

Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Quelle: www.avira.com

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Deisic]

Conficker nicht zu stoppen:

>>>weiter

>>>Conficker.A - Sicherheitspatch

[Ham-Master]

Mytob.CR3 19.02.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Mytob.CR3 ist per E-Mail unterwegs. Der Trojaner versteckt sich im Anhang der E-Mail, die Bankdokumente enthalten
soll. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein Informationen von einer
Bank präsentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Here are your banks documents”

Dateianhang: „document.txt.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgende Datei erstellt:

– C:\hellmsn.exe

Die folgenden Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
• "WsTask" = "task32.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "WsTask" = "task32.exe"

– HKCU\Software\Microsoft\OLE
• "WsTask" = "task32.exe"

– HKLM\SOFTWARE\Microsoft\Ole
• "WsTask" = "task32.exe"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• "WsTask" = "task32.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Soccer.B 20.02.2009


Verbreitung:--->*****
Schaden:------->*****

Die ersten Karten für die Weltmeisterschaft 2010 in Südafrika sind erhältlich und können über das Internet bestellt werden.
Das versucht der Wurm Soccer.B auszunutzen und lockt mit angeblich verbilligten Eintrittskarten für das Fußball-Event in Südafrika.
Im Anhang der E-Mail befinden sich natürlich keine Informationen über die Eintrittskarten zum Schnäppchenpreis, stattdessen
installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Reduced in price: Tickets for the world championship 2010 in South Africa”

Dateianhang: „Tickets.txt.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows Systemverzeichnis:
• %SYSDIR%msctools.exe

Folgende Einträge in der Windows Registry werden angelegt:

– [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
• "nsdevice"="%SYSDIR%msctools.exe"

– [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
• "nsdevice"="%SYSDIR%msctools.exe"

– [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces]
• "nsdevice"="%SYSDIR%msctools.exe"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang

[Ham-Master]

Crypt.XPACK.Gen9 23.02.2009


Verbreitung:--->*****
Schaden:------->*****

Der Trojaner Crypt.XPACK.Gen9 ist per E-Mail unterwegs und lockt mit Fotos von der 81. Oscarverleihung.
Angeblich sollen in der gepackten Datei die schlimmsten Modesünden der geladenen Prominenten enthalten sein.
Und das ist natürlich gelogen: Im Anhang der E-Mail befinden sich natürlich keine Bilder von schlecht gekleideten Stars,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Fashionable Tops and flops of the OSCAR night”

Dateianhang: „Fashion.zip.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System

Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

24.02.2009.

Wurm Mytob.U5

Verbreitung:
....Schaden:

Der Wurm Mytob.U5 ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – einer der folgenden:
• hello
• hi
• Error
• Status
• Server Report
• Mail Transaction Failed
• Mail Delivery System
• Dateianhang – einer der folgenden:
• body
• message
• test
• data
• file
• text
• doc
• readme
• document

E-Mail-Text – einer der folgenden:
• Mail transaction failed. Partial message is available.
• The message contains Unicode characters and has been sent as a binary attachment.
• The message has been sent as a binary attachment.
• test

Hinweis: der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Quelle.Virenticker

[Ham-Master]

Mytob.BW6 27.02.2009


Verbreitung:--->*****
Schaden:------->*****

Ein als Strafanzeige der Kripo getarnter E-Mail-Virus verbreitet sich wieder mal im Internet.
Die gleiche E-Mail war schon vor genau 6 Wochen unterwegs und hat bei vielen ahnungslosen Anwendern das System verseucht.
Der Empfänger sei angeblich beim Herunterladen von Filmen, Software und MP3 erwischt und der Inhalt seines PCs als
Beweismittel sichergestellt worden – eine entsprechende Strafanzeige, so der Mail-Text weiter, „wird Ihnen in den nächsten
Tagen schriftlich zugestellt“. Details zu den gesammelten Beweisen sollen sich im Anhang befinden – doch lauert dort nicht der
Staatsanwalt, sondern ein Wurm.

Die E-Mail hat folgendes Aussehen

Betreff: „Ermittlungsverfahren wurde eingeleitet“

Dateianhang: „text.pdf.exe“

E-Mail-Text: „ Sehr geehrte Damen und Herren, das Herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 62.36.148.*** erfasst wurde. Der Inhalt Ihres Rechners
wurde als Beweismittelsichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.”

Virus: Mytob.BW6

Virustyp: Wurm

Dateigröße: 53.248 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Datei:
• %SYSDIR%w32NTupdt.exe

Folgende Einträge werden in der Registry angelegt:

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServi ces
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftOLE
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftOle
• "A New Windows Updater"="w32NTupdt.exe"

– HKCUSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"

– HKLMSYSTEMCurrentControlSetControlLsa
• "A New Windows Updater"="w32NTupdt.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

iBill.BR 01.03.2009


Verbreitung:--->*****
Schaden:------->*****

Der Trojaner iBill.BR ist wieder per E-Mails unterwegs. Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu
verleiten, die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt natürlich keine Daten von einer Abrechnung, sondern
der Trojaner selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Abrechnung 213851614859“.

Dateianhang: Unterschiedlich

E-Mail-Text: Unterschiedlich

Virus: iBill.BR

Virustyp: Trojaner

Dateigröße: Unterschiedlich
Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob.PK6 03.03.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Mytob.PK6 ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die behauptet, der aktuelle
E-Mail-Zugang wäre vom Provider deaktiviert worden. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang
befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den
deaktivierten E-Mail-Account. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Email Account Suspension

Dateianhang: account-details

Größe des Dateianhangs: 56.832 Bytes

E-Mail-Text: „Dear user %username from receivers email address%”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\rnathchk.exe

Folgende Einträge in der Windows Registry werden angelegt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

Folgende Registry-Schlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Bagle.FN 04.03.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Bagle.FN ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich ein Fax enthalten soll.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über ein Fax.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Fax Message

Dateianhang: Message is in attach

Größe des Dateianhangs: 20.000 Bytes

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen

Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe

Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Deisic]

Warnung vor falschen Conficker-Entfernern
von Axel Postinett

Die Conficker-Panik hat IT-Gemeinde, Medien und Internet erfasst. Und schon tauchen die ersten falschen Freunde im Web auf, die Entfernungstools anbieten, um den ungebetenen Gast wieder von der Festplatte zu putzen. Doch blinder Aktionismus ist fehl am Platze. In Wahrheit wird oft genug nur das Gegenteil erreicht: Hinter den Hilfsprogrammen kann sich neue Schadsoftware verbergen.>>>weiter

[Ham-Master]

Bagle.FN2 01.04.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Bagle.FN2 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich ein Fax enthalten soll.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über ein Fax.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Fax Message

Dateianhang: Message is in attach

Größe des Dateianhangs: 20.000 Bytes

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen

Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe

Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Tearec.B 03.04.2009


Verbreitung:--->*****
Schaden:------->*****

Der Wurm Tearec.B ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die
im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden
System.

Die E-Mail hat folgendes Aussehen

Betreff: My photos; The Best Videoclip Ever.

Dateianhang: New Video.zip

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: i just any one see my photos. It's Free :)

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersio n
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal l\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

[bletz]

06.04.2009

Der Trojaner Agent.RCE4

Verbreitung:
....Schaden:

Der Trojaner Agent.RCE4 versteckt sich im Anhang einer E-Mail, die scheinbar einen geänderten Vertrag übermitteln soll. Nähere Angaben zum Vertrag, können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den von der Gegenseite vorbereiteten Vertrag. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – einer der folgenden:
Loan Contract
Contract of order fulfillment
Your new labour contract
Record in debit of account
Dateianhang: contract.zip

E-Mail-Text:
„Dear Sirs,
We have prepared a contract and added the paragraphs that you wanted to see in it. Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment. We are enclosing the file with the prepared contract.
If necessary, we can send it by fax.
Looking forward to your decision.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %PROGRAM FILES%\Microsoft Common\wuauclt.exe

Quelle.Virenticker.

[bletz]

29.05.2009.



Verbreitung:
....Schaden:

Der Wurm Ntech.ES ist verstärkt unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Hot game. You ask me about this game, Here is it.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Amusing game... In your attachemnt.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Quelle.Virenticker