Beiträge von smirre

  • Viren und Trojaner News

    Mytob

    Der Wurm Mytob ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
    Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff – einer der folgenden:
    Mail delivery failed: returning message to sender
    Mail Delivery System
    Mail Transaction Failed
    Delivery Status Notification (Failure)
    Returned mail: see transcript for details

    Dateianhang: details.txt.exe

    E-Mail-Text – einer der folgenden:
    „Mail transaction failed. Partial message is available.“
    „The following addresses had permanent fatal errors.”
    „The message you sent to sigil777.com/trash50534137 was rejected because the quota for the mailbox has been exceeded.”
    „A message that you sent could not be delivered to one or more of its recipients. ”

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Wird der Wurm ausgeführt, erstellt er folgende Dateien:
    • %SYSDIR%\taskgmrs.exe
    • C:\funny_pic.scr
    • C:\see_this!!.scr
    • C:\my_photo2005.scr
    • C:\hellmsn.exe

    Folgende Einträge in die Registry werden angelegt:
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "WINTASK"="taskgmr.exe"
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    • "WINTASK"="taskgmr.exe"
    – [HKCU\Software\Microsoft\OLE]
    • "WINTASK"="taskgmr.exe"
    – [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
    • "WINTASK"="taskgmr.exe"

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

  • Viren und Trojaner News

    Sober.AB7

    Der Wurm Sober ist per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten, die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst, der das betreffende System dann infiziert.

    Die E-Mail hat folgendes Aussehen

    Betreff: „Ihr Account wurde eingerichtet!“.

    Dateianhang: Service.pdf.exe

    E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“

    Virus: Sober.AB7

    Virustyp: Wurm

    Dateigröße: 89.274 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Es wird folgendes Verzeichnis erstellt:
    • %WINDIR%\PoolData\

    Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
    – An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
    • smss.exe
    • csrss.exe
    • services.exe

    Eine Datei wird überschrieben:
    – %SYSDIR%\drivers\tcpip.sys

    Es wird folgende Datei erstellt:
    – Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
    • %WINDIR%\PoolData\xpsys.ddr

    Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
    – WinData • c:\windows\\PoolData\\services.exe

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

  • Viren und Trojaner News

    Paypal.C

    „6800 Euro werden von ihrem Konto abgebucht“: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner zu verteilen. Genaue Informationen zu der hohen Rechnung von Paypal könne man der gepackten Datei im Anhang entnehmen.
    Wird die sich im Anhang befindende Datei entpackt und die angebliche Rechnung durch einen Doppelklick geöffnet, erhält man jedoch keine Informationen über die Forderung. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: „Rechnung“ oder „Lastschrift“

    E-Mail-Text: „6800 Euro werden von ihrem Konto abgebucht…“

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\Internet_Explorer.exe

    Es wird folgende Datei erstellt:
    – C:\001.tmp Diese Datei enthält gesammelte Informationen über das System.

    Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • Internet_Explorer.exe="%SYSDIR%\Internet_Explorer.exe"

    Folgender Registryschlüssel wird hinzugefügt:
    – [HKCU\Software\Microsoft\FkuCMxHi]
    • htIRtBqg=%Hex Werte%

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

  • Viren und Trojaner News

    Lovgate.C

    Der Wurm Lovgate.C ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Attached one Gift for u.

    Der Dateiname des Anhangs: enjoy.exe

    Größe des Dateianhangs: 179.200 Bytes

    E-Mail-Text: Send me your comments.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %SYSDIR%\WinDriver.exe
    • %SYSDIR%\Winexe.exe
    • %SYSDIR%\WinGate.exe
    • %SYSDIR%\RAVMOND.exe
    • %SYSDIR%\IEXPLORE.EXE
    • %TEMPDIR%\%zufällige Buchstabenkombination%
    • c:\SysBoot.EXE
    • %WINDIR%\SYSTRA.EXE
    • %SYSDIR%\WinHelp.exe

    Es werden folgende Dateien erstellt:
    – c:\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
    • [AUTORUN]
    Open="C:\SysBoot.EXE" /StartExplorer
    – %SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

    Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
    – [HKLM\software\microsoft\windows\currentversion\run\]
    • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
    • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
    • "WinHelp"="%SYSDIR%\WinHelp.exe"
    • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
    – [HKLM\software\microsoft\windows\currentversion\runservices\]
    • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"

    Folgender Registryschlüssel wird hinzugefügt:
    – [HKCU\software\microsoft\windows nt\currentversion\windows\]
    • "DebugOptions"="2048"
    • "Documents"=""
    • "DosPrint"="no"
    • "load"=""
    • "NetMessage"="no"
    • "NullPort"="None"
    • "Programs"="com exe bat pif cmd"
    • "run"="RAVMOND.exe"

    Folgender Registryschlüssel wird geändert:
    – [HKCR\exefile\shell\open\command]
    Alter Wert:
    • @="\"%1\" %*"
    Neuer Wert:
    • @="%SYSDIR%\winexe.exe \"%1\" %*"

  • Viren und Trojaner News

    Sober.F

    Der altbekannte Wurm Sober.F ist wieder per E-Mail unterwegs. In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind. Nähere Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
    Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Warnung!

    Dateianhang: Schwarze-Liste

    Größe des Dateianhangs: 42.496 Bytes

    E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:

    • %SYSDIR%\%zufällige Wörter%.exe

    %zufällige Wörter%:
    • sys
    • host
    • dir
    • expolrer
    • win
    • run
    • log
    • 32
    • disc
    • crypt
    • data
    • diag
    • spool
    • service
    • smss32

    Es werden folgende Dateien erstellt:
    • %SYSDIR%\winhex32xx.wrm
    • %SYSDIR%\winsys32xx.zzp

    Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    • %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    %zufällige Wörter%]
    • %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

  • Viren und Trojaner News

    Dropper

    Zurzeit ist der Trojaner Dropper per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner, sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay.
    Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wenn Sie den Anhang aber öffnen, erscheint keine Rechnung, sondern der Trojaner kapert das System.

    Die E-Mail hat folgendes Aussehen

    Absender: „eBay Collections”, „eBay Finance”, „eBay Kundensupport”.

    Betreff: „Ihre eBay.de Gebuehren“.

    Dateianhang: eBay-Rechnung.pdf.exe

    Größe des Dateianhangs: 20.480 Bytes.

    E-Mail-Text: Unterschiedlicher Text.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Es wird folgende Datei erstellt und ausgeführt:
    – %TEMPDIR%\tassvhost.exe

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

  • Viren und Trojaner News

    Rontok.C

    Rontok.C ist zurzeit wieder per E-Mail unterwegs. Der Wurm versteckt sich in einer E-Mail, die angeblich vor dem Gebrauch von Drogen warnt. Weitere Informationen dazu, könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Gefahr von Drogen, sondern der Wurm installiert such auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Die Betreffzeile ist leer.

    Dateianhang: drugswarning.txt.exe

    E-Mail-Text: SAY NO TO DRUGS

    Virus: Rontok.C

    Virustyp: Wurm

    Dateigröße: 81.920 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Wird der Wurm ausgeführt, erstellt er folgende Dateien:
    • %WINDIR%\ShellNew\ElnorB.exe
    • %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr
    • %home%\Start Menu\Programs\Startup\Empty.pif
    • %home%\Local Settings\Application Data\smss.exe
    • %home%\Local Settings\Application Data\services.exe
    • %home%\Local Settings\Application Data\inetinfo.exe
    • %home%\Local Settings\Application Data\csrss.exe
    • %home%\Local Settings\Application Data\lsass.exe
    • %home%\Local Settings\Application Data\winlogon.exe
    • %home%\Templates\bararontok.com
    • %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com

    In der Autoexec.bat wird folgender Befehl angelegt: – %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task, welchen der Wurm zu einem vordefinierten Zeitpunkt ausführt.

    Folgende Einträge werden in der Registry angelegt:

    – HKLM\software\microsoft\windows\currentversion\run
    • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

    – HKCU\software\microsoft\windows\currentversion\run
    • "Tok-Cirrhatus" = ""
    • "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%home%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""

    Folgende Einträge werden in der Registry geändert:

    Deaktivieren von Regedit und Task Manager:
    – HKCU\software\microsoft\windows\currentversion\Policies\System
    Alter Wert:
    • "DisableCMD" = %Einstellungen des Benutzers%
    • "DisableRegistryTools" = %Einstellungen des Benutzers%
    Neuer Wert:
    • "DisableCMD" = dword:00000000
    • "DisableRegistryTools" = dword:00000000

    Verschiedenste Einstellungen des Explorers:
    – HKCU\software\microsoft\windows\currentversion\Policies\Explorer
    Alter Wert:
    • "NoFolderOptions" = %Einstellungen des Benutzers%
    Neuer Wert:
    • "NoFolderOptions" = dword:00000001

    – HKCU\software\microsoft\windows\currentversion\explorer\advanced
    Alter Wert:
    • "ShowSuperHidden" =%Einstellungen des Benutzers%
    • "HideFileExt" = %Einstellungen des Benutzers%
    • "Hidden" = %Einstellungen des Benutzers%
    Neuer Wert:
    • "ShowSuperHidden" = dword:00000000
    • "HideFileExt" = dword:00000001
    • "Hidden" = dword:00000000

  • Viren und Trojaner News

    Agent.RCE5

    Der Trojaner Agent.RCE5 versteckt sich im Anhang einer E-Mail, die scheinbar einen geänderten Vertrag übermitteln soll. Nähere Angaben zum Vertrag, können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
    Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den von der Gegenseite vorbereiteten Vertrag. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff – einer der folgenden:
    Loan Contract
    Contract of order fulfillment
    Your new labour contract
    Record in debit of account

    Dateianhang: contract.zip

    E-Mail-Text:
    „Dear Sirs,
    We have prepared a contract and added the paragraphs that you wanted to see in it. Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment. We are enclosing the file with the prepared contract.
    If necessary, we can send it by fax.
    Looking forward to your decision.”

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %PROGRAM FILES%\Microsoft Common\wuauclt.exe

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!