HIER Viren- & Trojanerwarnungen posten!

[bletz]

01.02.2010

Virus : Crypt.XPACK.Gen

Verbreitung:
....Schaden:

Der Trojaner Crypt.XPACK.Gen ist wieder per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

Quelle: Virenticker

[Ham-Master]

Stration.F 04.02.2010

Verbreitung:--->*****
Schaden:------>*****

Stration.F ist per E-Mail unterwegs. Der Wurm versteckt sich hinter einer angeblich nicht zugestellten E-Mail.
Die versendete E-Mail wurde von der Firewall des Empfängers geblockt, so heißt es. Angeblich war die E-Mail mit einem Wurm infiziert.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen über die abgewiesene E-Mail, sondern der Wurm dringt in das betreffende System ein!

Die E-Mail hat folgendes Aussehen

Betreff: „Mail server report“.

Dateianhang: „Update-KB%Nummer%-x86.zip.exe“.

E-Mail-Text: „Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer.
Please install updates for worm elimination and your computer restoring. Best regards, Customers support service”.

Dateigröße: 101.376 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird versucht folgende Datei zu laden:

– Die URL ist folgende:
• www4.rasetikuinyunhderunsa.com/chr/859/**********

Diese wird lokal gespeichert unter: %TEMPDIR%\~%Nummer%.tmp und anschließend ausgeführt.
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
%WINDIR%\cserv32.dat
%WINDIR%\cserv32.z
%WINDIR%\cserv32.wax
%SYSDIR%\e1.dll

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "cserv32"="%WINDIR%\cserv32.exe s"

Folgende Einträge werden in der Registry geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
Alter Wert:
• "AppInit_DLLs"=""
Neuer Wert:
• "AppInit_DLLs"="e1.dll"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

[Ham-Master]

Mytob 05.02.2010

Verbreitung:--->*****
Schaden:------>*****

Zurzeit ist der Wurm Mytob unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System und nimmt Kontakt mit einem Server auf.

Die E-Mail hat folgendes Aussehen

Betreff: Mail Delivery System

Dateianhang: „body.zip.exe“.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!