Viren und Trojaner News

Sober.AB9

[color="White"]Der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten, die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihr Account wurde eingerichtet!“.

Dateianhang: Service.pdf.exe

E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“

Virus: Sober.AB9

Virustyp: Wurm

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang! [/color]

Mytob.PK

Der Wurm Mytob.PK ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die behauptet, der aktuelle E-Mail-Zugang wäre vom Provider deaktiviert worden. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den deaktivierten E-Mail-Account. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Email Account Suspension

Dateianhang: account-details

Größe des Dateianhangs: 56.832 Bytes.

E-Mail-Text: „Dear user %username from receivers email address%”.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\rnathchk.exe

Folgende Einträge in der Windows Registry werden angelegt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

Folgende Registry-Schlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

MuJoin.AG

Der Trojaner MuJoin.AG ist wieder per E-Mail mit einer angeblichen Antwort von einer Kontaktanzeige bei single.de unterwegs. Die Absenderin der E-Mail mit dem Vornamen „Gabi“ behauptet, schon seit längerer Zeit nach netten Kontakten für Freizeit und Hobbys zu suchen. Ein Bild von Gabi könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Foto angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Hallo von Gabi“.

Dateianhang: Foto-Gabi.pdf.exe

Größe des Dateianhangs: 106.464 Bytes.

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgende Datei erstellt:
– %home%\Local Settings\Temp.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Chir.D

Der Wurm Chir.D ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die einen Besuch des Absenders ankündigt. Nähere Angaben zu dieser Person können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den Gast. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: %Benutzernamen der Emailadresse des Absenders% is coming!

Dateianhang: PS.PDF.exe

E-Mail-Text: Unterschiedlicher Text – der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe

Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Tearec.A

Der Wurm Tearec.A ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Bildern im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: eBook.pdf

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: photo, photo2, photo3

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %WINDIR%\Rundll16.exe
• %SYSDIR%\scanregw.exe
• C:\WINZIP_TMP.exe
• %SYSDIR%\Update.exe
• %SYSDIR%\Winzip.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
• .HTM
• .DBX
• .EML
• .MSG
• .OFT
• .NWS
• .VCF
• .MBX

Mit folgendem Inhalt:
• DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
• %PROGRAM FILES%\DAP\*.dll
• %PROGRAM FILES%\BearShare\*.dll
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
• %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.exe
• %PROGRAM FILES%\Alwil Software\Avast4\*.exe
• %PROGRAM FILES%\McAfee.com\VSO\*.exe
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
• %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
• %PROGRAM FILES%\NavNT\*.exe
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
• %PROGRAM FILES%\Grisoft\AVG7\*.dll
• %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
• %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
• %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
• %PROGRAM FILES%\Morpheus\*.dll
• %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
• %PROGRAM FILES%\Common Files\symantec shared\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
• %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
• %PROGRAM FILES%\McAfee.com\Agent\*.*
• %PROGRAM FILES%\McAfee.com\shared\*.*
• %PROGRAM FILES%\McAfee.com\VSO\*.*
• %PROGRAM FILES%\NavNT\*.*
• %PROGRAM FILES%\Norton AntiVirus\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
• %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
• %PROGRAM FILES%\Symantec\LiveUpdate\*.*
• %PROGRAM FILES%\Trend Micro\Internet Security\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
• %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• CleanUp
• SECUR
• NPROTECT
• ccApp
• ScriptBlocking
• MCUpdateExe
• VirusScan Online
• MCAgentExe
• VSOCheckTask
• McRegWiz
• MPFExe
• MSKAGENTEXE
• MSKDetectorExe
• McVsRte
• PCClient.exe
• PCCIOMON.exe
• pccguide.exe
• Pop3trap.exe
• PccPfw
• tmproxy
• McAfeeVirusScanService
• NAV Agent
• PCCClient.exe
• SSDPSRV
• rtvscn95
• defwatch
• vptray
• ScanInicio
• APVXDWIN
• KAVPersonal50
• kaspersky
• TM Outbreak Agent
• AVG7_Run
• AVG_CC
• Avgserv9.exe
• AVGW
• AVG7_CC
• AVG7_EMC
• Vet Alert
• VetTray
• OfficeScanNT Monitor
• avast!
• PANDA
• DownloadAccelerator
• BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
• SOFTWARE\Symantec\InstalledApps
• SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
• SOFTWARE\KasperskyLab\Components\101
• SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
• SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Crypt.XPACK.Gen3

Der Trojaner Crypt.XPACK.Gen3 ist per E-Mail unterwegs. Im Mittelpunkt steht ein angebliches Videos mit der beliebten Schauspielerin Angelina Jolie. Der Trojaner versteckt sich im Anhang der E-Mail, die ein Video des Hollywoodstars enthalten soll. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man jedoch kein Video präsentiert, stattdessen installiert sich der Trojaner auf dem betreffenden System und nimmt Kontakt mit einem Server auf. Anschließend versucht der Trojaner Zugangsdaten für Onlinebanking und Kreditkartennummern auszuspähen.

Die E-Mail hat folgendes Aussehen

Betreff: „Angelina Jolie Free Video”

Dateianhang: „video- anjelina.avi.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Mytob.A

Zurzeit ist der Wurm Mytob.A wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Mail Delivery System”

Dateianhang: „body.zip.exe“.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!