Viren, Trojaner und andere Schädlinge

[horaita]

Malware tarnt sich mit StudiVZ-Toolbar


Die IE-Toolbar von StudiVZ hat einen bösartigen Zwilling erhalten. Die Schadsoftware bringt neben der Toolbar auch gleich einen Trojaner aufs System.

Manche Anwender haben bereits so viele Symbolleisten im Browser installiert, dass kaum noch Platz für die Inhalte der besuchten Web-Seiten bleibt. Selbst eingefleischte Toolbar-Fans sollten jedoch auf dieses manipulierte Exemplar verzichten, vor dem der Antivirushersteller McAfee derzeit warnt. Es handelt sich um ein Trojanisches Pferd, eine Kombination aus StudiVZ-Toolbar und Backdoor.


Dennis Elser berichtet im Blog der McAfee Avert Labs über einen Malware-Angriff mit regionalem Bezug. Er zielt auf deutsche Internet-Nutzer, genauer gesagt auf Nutzer des sozialen Netzwerks StudiVZ. Ein manipuliertes Setup-Programm für die StudiVZ-Toolbar installiert neben diesem Programm heimlich auch einen Schädling, der auf mehreren Wegen Daten ausspionieren soll.


Wird das Programm gestartet, beginnt die Installation der Toolbar ohne weitere Auffälligkeiten. Der von McAfee als Variante des Trojanischen Pferds Backdoor-CEP erkannte Schädling verhält sich passiv, wenn bestimmte Sicherheitsprogramme laufen oder er in einer virtuellen Maschine ausgeführt wird. Andernfalls injiziert das Setup-Programm des Code des Schädlings in laufende Prozesse. Alternativ startet es einen legitimen Prozess im Ruhezustand, manipuliert dessen Code im Arbeitsspeicher und setzt seine Ausführung dann fort.


Auf diese Weise ist der Schädling nur schwer zu entdecken, denn er wird nie als Datei auf die Festplatte geschrieben. Ist die Toolbar installiert, startet sogleich der Internet Explorer und ruft die Website von StudiVZ auf. Mitglieder des Netzwerks werden sich, so jedenfalls die Erwartung des Angreifers, gleich bei StudiVZ anmelden. So kann der Schädling die Anmeldedaten abgreifen, in dem der Tastatureingaben protokolliert. Die ausgespähten Daten werden an einen Server in Deutschland übertragen.(

 

[horaita]

Sophos warnt vor PDF-Exploit

Eine aktuelle Lücke im Adobe Reader wird derzeit aktiv angegriffen. Nach eigenen Angaben erkennen die Sicherheitslösungen von Sophos den Schädling zwar pro-aktiv, dennoch rät das Unternehmen, weitere Maßnahmen zu ergreifen.


Bislang hat Adobe noch kein Sicherheitsupdate veröffentlicht. Das Exploit kann grundsätzlich in jedem PDF-Dokument lauern, Kriminelle müssen den Nutzer lediglich dazu bringen, dieses Dokument zu öffnen - und das ist leichter, als es den Anschein hat. Deshalb empfiehlt Sophos drei Maßnahmen, um den eigenen Rechner vor einer Ausnutzung dieses Exploits zu schützen:

1. Deaktivieren Sie Javascript im Adobe Reader oder im Acrobat. Dazu genügt es, im Menü "Bearbeiten/Einstellungen" die entsprechende Option abzuwählen.

2. Deaktivieren Sie die Darstellung von PDF-Dokumenten innerhalb von Websites. Auch das lässt sich über die Einstellungen des Adobe Reader einstellen.

3. Verhindern Sie, dass der Internet Explorer PDF-Dokumente ohne Rückfrage öffnet. Das erreichen Sie über den Registry-Schlüssel HKEY_CLASSES_ROOTAcroExch.Document.7, wo Sie den Binary-Wert "EditFlags" auf "0" setzen müssen.

Alle drei Maßnahmen sind freilich nur Workarounds. So bald ein Patch zur Verfügung steht, sollte er umgehend installiert werden.

 

[vantagegoldi]

Wurm McMaggot.AB


Verbreitung:*****

Schaden: *****

Der Wurm McMaggot.AB ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen von Coca Cola, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Coca Cola is proud to accounce our new Promotion.

Dateianhang: coupon.zip

Größe des Dateianhangs: 449.024 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vxworks.exe

Es wird folgende Datei erstellt und ausgeführt:
– %SYSDIR%\qnx.exe

Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wind River Systems"="c:\windows\\system32\\vxworks.exe

Folgende Registryschlüssel werden geändert:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
Neuer Wert: :\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm Tearec.AZF


Verbreitung:*****

Schaden: *****

Der Wurm Tearec.AZF ist per E-Mail unterwegs und lockt mit einem angeblichen Video von Nicole Kidman. Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Video angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Nicole Kidman video - you must view this videoclip

Dateiname: Video_part.mim

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: Please see the video

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm BackNine.Z3


Verbreitung:*****

Schaden: *****

Eine mit dem Wurm BackNine.Z3 verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn. Weitere Informationen könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über den Geldsegen, sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „You are a very lucky, read this mail!“.

Dateianhang: „BigCashForYou.exe.txt“

E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“

Dateigröße: 20.992 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe
• %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Trojaner Dldr.Stration.Gen


Verbreitung:*****

Schaden: *****

Der Trojaner Dldr.Stration.Gen ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm Rontok.C


Verbreitung:*****

Schaden: *****

Der Wurm Rontok.C ist zurzeit wieder per E-Mail unterwegs. Der Wurm versteckt sich in einer E-Mail, die angeblich vor dem Gebrauch von Drogen warnt. Weitere Informationen dazu, könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Gefahr von Drogen, sondern der Wurm installiert such auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Die Betreffzeile ist leer.

Dateianhang: kangen.txt.exe

E-Mail-Text: SAY NO TO DRUGS

Dateigröße: 81.920 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %WINDIR%\ShellNew\ElnorB.exe
• %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr
• %home%\Start Menu\Programs\Startup\Empty.pif
• %home%\Local Settings\Application Data\smss.exe
• %home%\Local Settings\Application Data\services.exe
• %home%\Local Settings\Application Data\inetinfo.exe
• %home%\Local Settings\Application Data\csrss.exe
• %home%\Local Settings\Application Data\lsass.exe
• %home%\Local Settings\Application Data\winlogon.exe
• %home%\Templates\bararontok.com
• %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com

In der Autoexec.bat wird folgender Befehl angelegt: – %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task, welchen der Wurm zu einem vordefinierten Zeitpunkt ausführt.

Folgende Einträge werden in der Registry angelegt:

– HKLM\software\microsoft\windows\currentversion\run
• "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
• "Tok-Cirrhatus" = ""
• "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%home%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""

Folgende Einträge werden in der Registry geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\software\microsoft\windows\currentversion\Policies\System
Alter Wert:
• "DisableCMD" = %Einstellungen des Benutzers%
• "DisableRegistryTools" = %Einstellungen des Benutzers%
Neuer Wert:
• "DisableCMD" = dword:00000000
• "DisableRegistryTools" = dword:00000000

Verschiedenste Einstellungen des Explorers:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
Alter Wert:
• "NoFolderOptions" = %Einstellungen des Benutzers%
Neuer Wert:
• "NoFolderOptions" = dword:00000001

– HKCU\software\microsoft\windows\currentversion\explorer\advanced
Alter Wert:
• "ShowSuperHidden" =%Einstellungen des Benutzers%
• "HideFileExt" = %Einstellungen des Benutzers%
• "Hidden" = %Einstellungen des Benutzers%
Neuer Wert:
• "ShowSuperHidden" = dword:00000000
• "HideFileExt" = dword:00000001
• "Hidden" = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang! Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Trojaner Former.X2


Verbreitung:*****

Schaden: *****

Der Trojaner Former.X2 ist per E-Mail unterwegs. Der Trojaner versteckt sich im Anhang der E-Mail, die eine Rechnung enthalten soll. Wird die sich im Anhang befindende gepackte Datei geöffnet, erhält man jedoch keine Informationen über eine Rechnung, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „New Bill for register”

Body: „Hello register, the new bill is attached. Password is 123. Please pay in time”

Dateianhang: „bill.zip“.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm Bagle.FN7


Verbreitung:*****

Schaden: *****

Der Wurm Bagle.FN7 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich ein Fax enthalten soll. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über ein Fax. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Fax Message

Dateianhang: Message is in attach

Größe des Dateianhangs: 20.000 Bytes

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie wird hier angelegt:
• %SYSDIR%\windspl.exe
• %SYSDIR%\windspl.exeopen
• %SYSDIR%\windspl.exeopenopen

Es wird folgende Datei erstellt und ausgeführt:
– %WINDIR%\regisp32.exe

Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DsplObjects = %SYSDIR%\windspl.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm Tearec.AI


Verbreitung:*****

Schaden: *****

Der Wurm Tearec.AI ist zurzeit wieder per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You Must View
Dateianhang: Clipe.zip.exe
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: See my photos. It's Free
Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm Warney.S


Verbreitung:*****

Schaden: *****

Der Wurm Warney.S verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Wichtige Nachricht für Sie im Anhang

Dateianhang: info.pdf.exe

Größe des Dateianhangs: 64.721 Bytes

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Trojaner Dldr.Tiny8


Verbreitung:*****

Schaden: *****

Der Trojaner Dldr.Tiny8 ist per E-Mail unterwegs und lockt mit einem angeblichen Paket das von UPS versendet wird. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Ihr UPS Paket N5277746143

Größe des Dateianhangs: 2.139 Bytes

E-Mail-Text unterschiedlich – meist: Ihr UPS Paket N5277746143. Weitere

Informationen zum Versandstatus des Pakets finden Sie im Anhang.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird versucht die folgenden Dateien herunter zuladen:

– Die URL ist folgende:
• http://www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

– Die URL ist folgende:
• http://www.abetterstart.com/c/2000/**********

Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm Ntech


Verbreitung: *****

Schaden: *****

Der Wurm Ntech ist unterwegs.
Angeblich soll sich im Anhang der E-Mail ein Spiel befinden.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm
auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Versprochenes Spiel im Anhang.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt,
kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:

– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys

Des weiteren wird sie ausgeführt nachdem sie
vollständig erstellt wurde. Erkannt als: RKit/Posh.A

– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:

• %SYSDIR%\driver\runtime2.sys

Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME{SPAW EDITOR}00\Control\
ActiveService
• runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2{SPAW EDITOR}00\Control\
ActiveService
• runtime2

So schützen Sie Ihr System

Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern
– besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Trojaner TR/Dldr.Agent


Verbreitung: *****

Schaden: *****

Der Trojaner TR/Dldr.Agent ist zurzeit per E-Mail unterwegs
und lockt mit einer angeblichen Rechnung von eBay.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
werden jedoch keine Informationen über eine offene Rechnung präsentiert,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Von: [email protected]

Betreff: 7 Tage bis Ihre Kontosperrung

Dateianhang: Ebay-Rechnung.pdf.exe

Dateigröße: 11.213 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern
– besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Trojaner Crypt.XPACK.Gen


Verbreitung: *****

Schaden: *****

Der Trojaner Crypt.XPACK.Gen ist wieder per E-Mail unterwegs
und behauptet im Anhang eine Grußkarte zu haben.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine schönen Grüße.
Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern
– besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm Mytob.PK


Verbreitung: *****

Schaden: *****

Der Wurm Mytob.PK ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die behauptet, der aktuelle E-Mail-Zugang wäre vom Provider deaktiviert worden. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den deaktivierten E-Mail-Account. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Email Account Suspension

Dateianhang: account-details

Größe des Dateianhangs: 56.832 Bytes.

E-Mail-Text: „Dear user %username from receivers email address%”.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\rnathchk.exe

Folgende Einträge in der Windows Registry werden angelegt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

Folgende Registry-Schlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Trojaner Crypt.XPACK.Gen


Verbreitung: *****

Schaden: *****

Der Trojaner Crypt.XPACK.Gen ist per E-Mail unterwegs.
Im Mittelpunkt steht ein angebliches Videos mit der beliebten Schauspielerin Angelina Jolie.
Der Trojaner versteckt sich im Anhang der E-Mail,
die ein Video des Hollywoodstars enthalten soll.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man jedoch kein Video präsentiert,
stattdessen installiert sich der Trojaner auf dem betreffenden System
und nimmt Kontakt mit einem Server auf.
Anschließend versucht der Trojaner Zugangsdaten für Onlinebanking
und Kreditkartennummern auszuspähen.

Die E-Mail hat folgendes Aussehen

Betreff: „Angelina Jolie Free Video”

Dateianhang: „video- anjelina.avi.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern
– besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Trojaner iBill


Verbreitung: *****

Schaden: *****

Der Trojaner iBill ist wieder per E-Mails unterwegs. Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu verleiten, die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt natürlich keine Daten von einer Abrechnung, sondern der Trojaner selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Abrechnung 213851614859“.

Dateianhang: Unterschiedlich

E-Mail-Text: Unterschiedlich

Dateigröße: Unterschiedlich

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Folgender Schlüssel wird in der Registry angelegt, damit die DLL bei jedem Windows-Start automatisch geladen wird:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive Setup Installed Components{8B75D81C-C498-4935-C5D1-43AA4DB90836}

Nach dem Start der DLL nimmt diese Kontakt mit zwei Servern in China und in den USA auf und wartet auf Anweisungen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Wurm Paypal.D


Verbreitung: *****

Schaden: *****

„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen. Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.

Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet, erhält man jedoch keine Informationen über die Rechnung. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Rechnung“ oder „Lastschrift“

E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\Internet_Explorer.exe

Es wird folgende Datei erstellt:
– C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\Microsoft\FkuCMxHi]
• htIRtBqg=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

 

[vantagegoldi]

Trojaner Dldr.Stration.Gen


Verbreitung: *****

Schaden: *****



Der Trojaner Dldr.Stration.Gen ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!