Viren, Trojaner und andere Schädlinge

Trojaner Dropper.N


Verbreitung: *****

Schaden: *****

Zurzeit ist der Trojaner Dropper.N per E-Mail unterwegs. Mit einem angeblichen Bußgeldbescheid von der Straßenaufsicht, versucht der Trojaner sich auf dem betreffenden System zu installieren. Der Text verweist auf einen Link in der E-Mail, den man öffnen soll. Wenn Sie den Link anklicken, erscheint kein Bußgeldbescheid, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Betreff: Bußgeldbescheid von der Straßenaufsicht.

E-Mail-Text: „Sehr geehrte(r) Frau/Herr ,

unter dem Aktenzeichen DR-10/07-2511 wird gegen Sie ein Verfahren
eingeleitet!

Die Gründe und näheren Umstände zu den Ihnen gemachten Vorwürfen
finden Sie hier:

http ://nl.cxxxxxxxxxxxxxxxxxxx. htm

Mit freundlichen Grüßen

Ihre Straßenaufsicht“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgende Datei erstellt und ausgeführt:
– %TEMPDIR%\tassvhost.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Ryknos2


Verbreitung: *****

Schaden: *****

Zurzeit ist der Trojaner Ryknos2 unterwegs, der die Eigenschaften eines Rootkits besitzt. Rootkits sind hinterhältig. Denn Sie manipulieren Ihr System nach der Installation so, dass Sie den schädlichen Code der Kits nicht sehen und damit auch nicht beseitigen können.

Die E-Mail hat folgendes Aussehen

Betreff: Message for you

Dateianhang: Message.exe.pdf

E-Mail-Text: Unterschiedlicher Text
Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Nach dem Ausführen kopiert sich der Trojaner in den Windows-Ordner mit dem Dateinamen $sys$drv.exe und legt folgenden Eintrag in der Registry an.

[HKEY_CURRENT_USER%variabel%]
"$sys$drv"="$sys$drv.exe"

Der Trojaner kann sich zu unterschiedlichen Servern über den Port 8080 verbinden lassen. Der Trojaner versucht dann dem „Sony“- Channel mit der Bezeichnung "[0000-XP]%variabel%" beizutreten. Damit kann der Trojaner durch den Kopierschutz XCP unerkannt eine Hintertür für weitere Angriffe öffnen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Chir.p


Verbreitung: *****

Schaden: *****

Der Wurm Chir.p verbreitet sich zurzeit per E-Mail. Der Wurm versucht mit Betreffzeilen, die auf pornographische Inhalte schließen lassen, den Empfänger zum Öffnen auf den beigefügten Anhang zu verführen. Nach dem Doppelklick auf die scheinbare Grafikdatei, erscheint dann kein Bild, sondern der Wurm installiert sich auf dem betreffenden System.
Der Wurm löscht dann wichtiger Dateien des installierten Anti-Viren-Programms, um sich selbst vor Entdeckung zu schützen. Anschließend missbraucht er das infizierte System, um sich selbst weiter zu versenden.

Die E-Mail hat folgendes Aussehen

Betreff: "Hot Movie", "Great Video", "SeX.mpg", "Sexy", "Crazy illegal Sex!", "Photos", "School girl fantasies gone bad"

Dateianhang: "Adults_9,zip.sCR", "Clipe,zip.sCr", "New Video,zip", "Photos,zip.sCR", oder "School.pif".

E-Mail-Text: "Re: Sex Video", "i just any one see my photos.", "It's
Free : )", "VIDEOS! FREE! (US$ 0,00)"

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe

Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Tration.Gen


Verbreitung: *****

Schaden: *****

Der Trojaner Tration.Gen ist massiv per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Klick auf den Link in der E-Mail, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Von: Webmaster.de

Betreff: Ihre Email-Adresse DEACTIVATION ACHTUNG!

Body: „Lieber Kontoinhaber,
diese Meldung wird von unserer zentralen Datenbank Messaging-Center für
alle unseren E-Mail-Kontoinhabern. Das Office of Information Technology
wird in den Prozess der Migration aller E-Mail-Konten aktualisiert
zentrale E-Mail-Dienste. Wir löschen alle nicht verwendeten
E-Mail-Konten, um mehr Raum für neue Konten erstellen.
Um zu verhindern, von Ihrem Konto geschlossen wird, müssen Sie die unten
angegebenen Informationen zu aktualisieren, so dass wir sicher sein,
dass Ihr Account noch aktiv ist derzeit bieten.
Bestätigen Sie Ihre E IDENTITY unten:
E-Mail-Benutzername: .......... .....
E-Mail-Passwort: ................
Lage: ................
Warnung! Kontoinhaber, die seine oder ihre E-Mail-Konto innerhalb 10days
nach Erhalt dieser Warnung wird seine oder ihre E-Mail-Konto dauerhaft
verlieren Update verweigert.
Danke für die Benutzung unserer Webmail-Diensten
Warnung Code: VX2G99AAJ
Mit freundlichen Grüßen,
Webmaster Team.”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner TR/Dldr.iBill.T


Verbreitung: *****

Schaden: *****

Zurzeit werden E-Mails versandt, die angeblich von dem schwedischen Möbelhaus Ikea stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von knapp 400 Euro hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern ein heimtückischen Trojaner TR/Dldr.iBill.T, der das betreffende System infiziert.

Eine genaue Beschreibung des digitalen Schädlings und Maßnahmen, wie Sie sich schützen können, finden Sie hier.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihre IKEA Rechnung“.

Dateianhang: „Rechnung.pdf.exe“

E-Mail-Text: „Sehr geehrter IKEA Kunde, im Anhang finden Sie vorab Ihre Rechnung über 400 Euro. Diese wird Ihnen zusätzlich per Post zugesandt.”

Dateigröße: 35.840 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Sober.DS


Verbreitung: *****

Schaden: *****

Der Wurm Sober.DS verbreitet sich zurzeit wieder per E-Mail. Der Wurm versucht Sie mit Betreffzeilen, die das Schließen Ihres E-Mail-Anschluss androhen, zum Öffnen des beigefügten Anhangs zu verführen. Nach dem Entpacken des Anhangs und einem Doppelklick auf die scheinbare Textdatei, erscheinen dann keine Informationen, sondern der Wurm installiert sich auf Ihrem System.
Der Wurm blockiert dann das installierte Anti-Viren-Programm, um sich vor der Entdeckung zu schützen. Anschließend missbraucht er das infizierte System, um sich selbst weiter zu versenden.

Die E-Mail hat folgendes Aussehen

Betreff: "WARNING* Your Email Account Will Be Closed", "Email Account Suspension", "Notice: *** Last Warning *** ", "Your Email Account is Suspended For Security Reasons", "Account Alert" oder "Important Notification".

Dateianhang: "email-info.zip", "email-doc.zip", "account-details.zip" oder "information.zip".

Größe des Dateianhangs: 49.790 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

• %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32

Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Chir.D


Verbreitung: *****

Schaden: *****

Der Wurm Chir.D ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die einen Besuch des Absenders ankündigt. Nähere Angaben zu dieser Person können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den Gast. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: %Benutzernamen der Emailadresse des Absenders% is coming!

Dateianhang: PP.exe

E-Mail-Text: Unterschiedlicher Text – der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe

Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

delete

Wurm Mytob.A


Verbreitung: *****

Schaden: *****

zurzeit ist der Wurm Mytob.A wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „Mail Delivery System”

Dateianhang: „body.zip.exe“

Größe des Dateianhangs: 41.824 Bytes

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:

%SYSDIR%\taskgmrs.exe
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr
C:\hellmsn.exe
Folgende Einträge in die Registry werden angelegt:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINTASK"="taskgmr.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINTASK"="taskgmr.exe"
[HKCU\Software\Microsoft\OLE]
"WINTASK"="taskgmr.exe"
[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
"WINTASK"="taskgmr.exe"
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Dldr.Tiny7


Verbreitung: *****

Schaden: *****

der Trojaner Dldr.Tiny7 ist per E-Mail unterwegs und lockt diesmal mit einem angeblichen Paket das von der Post versendet wird. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Ihr Post Paket N52777

Größe des Dateianhangs: 2.139 Bytes

E-Mail-Text unterschiedlich – meist: Ihr Post Paket N52777. Weitere Informationen zum Versandstatus des Pakets finden Sie im Anhang.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es wird versucht die folgenden Dateien herunter zuladen:

Die URL ist folgende: www.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
Die URL ist folgende: www.abetterstart.com/c/2000/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Klez.E7


Verbreitung: *****

Schaden: *****

zurzeit werden E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang stecken natürlich keine Informationen über den Abbuchungsauftrag, sondern der heimtückische Wurm Klez.E7, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen:

Betreff: Vertrag

Dateianhang: Rechnung.rar

Größe des Dateianhangs: 65 KByte

E-Mail-Text: „Sehr geehrte Kundin, sehr geehrte Kunde,
Ihr Abbuchungsauftrag wurde erfüllt.
Sie finden die Details zu der Rechnung im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
%TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Es werden folgende Dateien erstellt:

Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
%TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
%PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C
Folgende Dateien werden gelöscht:

ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT
Shlwapi.dll
Kernel32.dll
netapi32.dll
sfc.dll
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

[HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]

Type = 110
Start = 2
ErrorControl = 0
ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
"ObjectName"="LocalSystem"
[HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]

Security = %hex values
[HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]

0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
Count = 1
NextInstance = 1
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Soccer.C


Verbreitung: *****

Schaden: *****

der Wurm Soccer.C lockt mit Bildern einer angeblich nackten Fußball-Mannschaft. Im Anhang der E-Mail befinden sich dann wie immer keine Bilder, sondern der Wurm lauert darauf, das betreffende System zu kapern.

Die E-Mail hat folgendes Aussehen:

Betreff: „Naked World Cup game set“

Dateianhang: soccer_nudist.bmp.exe

E-Mail-Text: „Nudists are organising their own tribute to the world cup, by staging their own nude soccer game, though it is not clear how the teams will tell each other apart. Good photos “.

Dateigröße: 39.904 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SYSDIR%msctools.exe
Folgende Einträge in der Windows Registry werden angelegt:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"nsdevice"="%SYSDIR%msctools.exe"
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"nsdevice"="%SYSDIR%msctools.exe"
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"nsdevice"="%SYSDIR%msctools.exe"
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner PPR.Troj


Verbreitung: *****

Schaden: *****

„6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail den Trojaner PPR.Troj zu verteilen. Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet, erhält man jedoch keine Informationen über die Forderung. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „Rechnung“ oder „Lastschrift“

E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\Internet_Explorer.exe
Es wird folgende Datei erstellt:

C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\Software\Microsoft\FkuCMxHi]
htIRtBqg=%Hex Werte%
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Crypt.XPACK.Gen14


Verbreitung: *****

Schaden: *****

der Trojaner Crypt.XPACK.Gen14 ist per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%home%\Application Data\hidn\hldrrr.exe
%home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

c:\temp.zip
Es wird folgende Datei erstellt:

c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt: Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\Software\FirstRun]
FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
Start = %Einstellungen des Benutzers%
Neuer Wert:
Start = 4
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Traxgy.B5


Verbreitung: *****

Schaden: *****

der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer. Im Anhang befindet sich ein angebliches Dokument. Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen. Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet, stattdessen installiert sich der Wurm auf dem System.

Die E-Mail hat folgendes Aussehen:

Betreff: %chinesischer Text%

Dateianhang: Document

Die Dateierweiterung ist eine der folgenden: .exe

Größe des Dateianhangs: 57.344 Bytes

E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

A:\Explorer.EXE
A:\WINDOWS.EXE
%Laufwerk%:\WINDOWS.EXE
%Laufwerk%:\ghost.bat
%alle Verzeichnisse%\%aktueller Verzeichnisname%.exe
Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:

An: %WINDIR%\\system\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\fonts\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\\temp\Mit einem der folgenden Namen:
%Hexadezimale Zahl%.com
An: %WINDIR%\help\Mit einem der folgenden Namen:
\%Hexadezimale Zahl%.com
Es werden folgende Dateien erstellt:

Nicht virulente Datei:
%alle Verzeichnisse%\desktop.ini
A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
%Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
%alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B
Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com
Der Wert des folgenden Registry-Schlüssels wird gelöscht:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
KaV300XP
Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
Alter Wert:
fullpath = %Einstellungen des Benutzers%
Neuer Wert:
fullpath = dword:00000001
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

Alter Wert:
HideFileExt = %Einstellungen des Benutzers%
Hidden = %Einstellungen des Benutzers%

Neuer Wert:
HideFileExt = dword:00000001
Hidden = dword:00000000
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Dropper.N


Verbreitung: *****

Schaden: *****

zurzeit werden E-Mails versandt, die angeblich von Amazon stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 715 Euro für einen bestellten Laptop hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern der heimtückische Trojaner Dropper.N, der das betreffende System infiziert.

Die E-Mail hat folgendes Aussehen:

Betreff: „Ihre Bestellung 2984234 bei Amazon.de“

Dateianhang: „Rechnung.doc.zip“

E-Mail-Text: „Vielen Dank für Ihre Bestellung bei Amazon.de!
Das Sony VAIO Notebook wird in Kürze versendet. Die Kosten von 715,- Euro werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer Bestellung entnehmen Sie bitte der angefügten Rechnung. Falls Sie die Bestellung stornieren möchte, bitte den in der Rechnung angegebenen Kundenservice anrufen und Ihre Bestellnummer bereithalten. Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Dateigröße: 12.800 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\%zufällige Buchstabenkombination%.exe
Es wird versucht die folgenden Dateien herunterzuladen:
Die URLs sind folgende:

www.hano.sk/aikido/**********win32.exe?l=
www.cibarealestate.com/includes/**********win32.exe?l=
www.thaibaa.org/Webboard/**********win32.exe?l=
www.thai-icecream.com/**********win32.exe?l=
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Crypt.XPACK.Gen14


Verbreitung: *****

Schaden: *****

der Trojaner Crypt.XPACK.Gen14 ist per E-Mail unterwegs. Im Mittelpunkt steht ein angebliches Video mit der beliebten Moderatorin Erin Andrews des US-Sportsenders ESPN.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein Video präsentiert, stattdessen installiert sich der Trojaner auf dem betreffenden System und nimmt Kontakt mit einem Server auf. Anschließend versucht der Trojaner Zugangsdaten für Onlinebanking und Kreditkartennummern auszuspähen.

Die E-Mail hat folgendes Aussehen:

Betreff: „Erin Andrews Free Video”

Dateianhang: „video.avi.exe“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%home%\Application Data\hidn\hldrrr.exe
%home%\Application Data\hidn\hidn.exe
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

c:\temp.zip
Es wird folgende Datei erstellt:

c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
Text decoding error.
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
drv_st_key = %home%\Application Data\hidn\hidn2.exe
Alle Werte des folgenden Registryschlüssel werden gelöscht:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\Software\FirstRun]
FirstRun = 1
Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
Start = %Einstellungen des Benutzers%
Neuer Wert:
Start = 4
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Badware12


Verbreitung: *****

Schaden: *****

der Trojaner Badware12 ist unterwegs und versucht Anwendern ein falsches Microsoft Office-Update vorzugaukeln. Die E-Mail ist angeblich vom Onlinedienst MSN und enthält ein Update für Office 2010. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen:

Betreff: „Update for Office 2010 only“

E-Mail-Text: unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es werden folgende Dateien erstellt:

%SYSDIR%\recovery.exe
%SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Mydoom.CD


Verbreitung: *****

Schaden: *****

der Wurm Mydoom.CD verstopft zurzeit viele Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail, in der sich angeblich Fotos befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man dann jedoch keine Fotos, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Hello friend

Dateianhang: i_love_u.zip.exe

Größe des Dateianhangs: 28.160 Bytes

E-Mail-Text: Hey dear! Here is my photos, as I promised

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Folgende Datei wird auf dem System installiert:

%SYSDIR%\wmedia16.exe
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WMedia16 = wmedia16.exe
Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:

txt, htm, sht, php, asp, dbx, tbb, adb, wab
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm NetSky.PS


Verbreitung: *****

Schaden: *****

zurzeit sind E-Mails unterwegs, die behaupten, der Empfänger habe illegale Internetseiten besucht. Eine Liste der Internetseiten befindet sind im Anhang. In dem Anhang steckt natürlich keine Liste illegaler Internetseiten, sondern der Wurm NetSky.PS, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen:

Betreff: „Internet Provider Abuse“

Dateianhang: „details.pdf.exe“

E-Mail-Text: „I noticed that you have visited illegal websites. See the name in the list!“

Dateigröße: 50.688 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%WINDIR%\fvprotect.exe
Es werden folgende Dateien erstellt:
Es wird folgende Archivdatei mit der Kopie der Malware erstellt:

%WINDIR%\zipped.tmp – MIME enkodierte Kopie seiner selbst:
%WINDIR%\zip1.tmp
%WINDIR%\zip2.tmp
%WINDIR%\zip3.tmp
%WINDIR%\base64.tmp
%WINDIR%\userconfig9x.dll
Folgender Registryschlüssel wird hinzugefügt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
„Norton Antivirus AV"="%WINDIR%\FVProtect.exe”
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!