Beiträge von smirre

  • Viren und Trojaner News

    Sober.F

    Der Wurm Sober.F ist wieder per E-Mail unterwegs. In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind. Nähere Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
    Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Warnung!

    Dateianhang: Schwarze-Liste

    Größe des Dateianhangs: 42.496 Bytes

    E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:

    • %SYSDIR%\%zufällige Wörter%.exe

    %zufällige Wörter%:
    • sys
    • host
    • dir
    • expolrer
    • win
    • run
    • log
    • 32
    • disc
    • crypt
    • data
    • diag
    • spool
    • service
    • smss32

    Es werden folgende Dateien erstellt:
    • %SYSDIR%\winhex32xx.wrm
    • %SYSDIR%\winsys32xx.zzp

    Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    • %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    %zufällige Wörter%]
    • %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

  • Viren und Trojaner News

    Bagle.FN3

    Der Wurm Bagle.FN3 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich ein Fax enthalten soll. Und das ist natürlich gelogen.
    Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über ein Fax. Stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Fax Message

    Dateianhang: Message is in attach

    Größe des Dateianhangs: 20.000 Bytes

    E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie wird hier angelegt:
    • %SYSDIR%\windspl.exe
    • %SYSDIR%\windspl.exeopen
    • %SYSDIR%\windspl.exeopenopen

    Es wird folgende Datei erstellt und ausgeführt:
    – %WINDIR%\regisp32.exe

    Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

    – [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • DsplObjects = %SYSDIR%\windspl.exe

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

  • Viren und Trojaner News

    Mytob.NT3

    Der Wurm Mytob.NT3 ist zurzeit wieder unterwegs und lockt unter anderem mit angeblichen Bankdokumenten im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen von einer Bank präsentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff – eine der folgenden:
    • hello
    • Error
    • Status
    • Good day
    • SERVER REPORT
    • Mail Transaction Failed
    • Mail Delivery System
    Manchmal kann die Betreffzeile auch leer sein.
    Des Weiteren kann die Betreffzeile zufällige Zeichen enthalten.

    Dateianhang – beginnt mit einer der folgenden:
    • doc
    • file
    • text
    • data
    • body
    • readme
    • message
    • document
    • %zufällige Buchstabenkombination%

    Die Dateierweiterung ist eine der folgenden:
    • .zip
    • .scr
    • .pif
    • .bat
    • .exe
    • .cmd

    Größe des Dateianhangs: 58.368 Bytes.

    E-Mail-Text:
    • Here are your banks documents.
    • Mail transaction failed. Partial message is available.
    • The message contains Unicode characters and has been sent as a binary attachment.
    • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    • The original message was included as an attachment.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %SYSDIR%\rnathchk.exe
    • c:\pic.scr
    • c:\see_this!.pif
    • c:\my_picture.scr

    Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
    • %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp

    Es werden folgende Dateien erstellt:

    – Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
    • %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp

    Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    • "RealPlayer Ath Check"="rnathchk.exe"

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "RealPlayer Ath Check"="rnathchk.exe"

    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    • "RealPlayer Ath Check"="rnathchk.exe"

    Folgende Registryschlüssel werden hinzugefügt:

    – [HKCU\Software\Microsoft\OLE]
    • "RealPlayer Ath Check"="rnathchk.exe"

    – [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
    • "RealPlayer Ath Check"="rnathchk.exe"

    – [HKLM\SOFTWARE\Microsoft\Ole]
    • "RealPlayer Ath Check"="rnathchk.exe"

    – [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
    • "RealPlayer Ath Check"="rnathchk.exe"

  • Viren und Trojaner News

    Mytob.BK

    Zurzeit ist der Wurm Mytob.BK wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
    Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff:
    • Error
    • Hello
    • Mail Delivery System
    • Mail Transaction Failed
    • Server Report
    • Status.

    Dateianhang: body.zip.exe.

    Größe des Dateianhangs: 41.824 Bytes.

    E-Mail-Text: „Mail transaction failed. Partial message is available.“

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird der Wurm ausgeführt, erstellt er folgende Dateien:
    • %SYSDIR%\taskgmrs.exe
    • C:\funny_pic.scr
    • C:\see_this!!.scr
    • C:\my_photo2005.scr
    • C:\hellmsn.exe

    Folgende Einträge in die Registry werden angelegt:
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "WINTASK"="taskgmr.exe"
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    • "WINTASK"="taskgmr.exe"
    – [HKCU\Software\Microsoft\OLE]
    • "WINTASK"="taskgmr.exe"
    – [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
    • "WINTASK"="taskgmr.exe"

  • Viren und Trojaner News

    Tearec.C

    Der Wurm Tearec.C ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: My photos; The Best Videoclip Ever.

    Dateianhang: New Video.zip

    Größe des Dateianhangs: 94.154 Bytes

    E-Mail-Text: i just any one see my photos. It's Free :)

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %WINDIR%\Rundll16.exe
    • %SYSDIR%\scanregw.exe
    • C:\WINZIP_TMP.exe
    • %SYSDIR%\Update.exe
    • %SYSDIR%\Winzip.exe
    • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

    Folgende Dateien werden überschreiben.
    Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

    – %alle Verzeichnisse%

    Dateiendungen:
    • .HTM
    • .DBX
    • .EML
    • .MSG
    • .OFT
    • .NWS
    • .VCF
    • .MBX

    Mit folgendem Inhalt:
    • DATA Error [47 0F 94 93 F4 K5]

    Folgende Dateien werden gelöscht:
    • %PROGRAM FILES%\DAP\*.dll
    • %PROGRAM FILES%\BearShare\*.dll
    • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
    • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
    • %PROGRAM FILES%\Norton AntiVirus\*.exe
    • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
    • %PROGRAM FILES%\McAfee.com\VSO\*.exe
    • %PROGRAM FILES%\McAfee.com\Agent\*.*
    • %PROGRAM FILES%\McAfee.com\shared\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
    • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
    • %PROGRAM FILES%\NavNT\*.exe
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
    • %PROGRAM FILES%\Grisoft\AVG7\*.dll
    • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
    • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
    • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
    • %PROGRAM FILES%\Morpheus\*.dll
    • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
    • %PROGRAM FILES%\Common Files\symantec shared\*.*
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
    • %PROGRAM FILES%\McAfee.com\Agent\*.*
    • %PROGRAM FILES%\McAfee.com\shared\*.*
    • %PROGRAM FILES%\McAfee.com\VSO\*.*
    • %PROGRAM FILES%\NavNT\*.*
    • %PROGRAM FILES%\Norton AntiVirus\*.*
    • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
    • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
    • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
    • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

    Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • ScanRegistry = "scanregw.exe /scan"

    Die Werte der folgenden Registryschlüssel werden gelöscht:

    – HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • CleanUp
    • SECUR
    • NPROTECT
    • ccApp
    • ScriptBlocking
    • MCUpdateExe
    • VirusScan Online
    • MCAgentExe
    • VSOCheckTask
    • McRegWiz
    • MPFExe
    • MSKAGENTEXE
    • MSKDetectorExe
    • McVsRte
    • PCClient.exe
    • PCCIOMON.exe
    • pccguide.exe
    • Pop3trap.exe
    • PccPfw
    • tmproxy
    • McAfeeVirusScanService
    • NAV Agent
    • PCCClient.exe
    • SSDPSRV
    • rtvscn95
    • defwatch
    • vptray
    • ScanInicio
    • APVXDWIN
    • KAVPersonal50
    • kaspersky
    • TM Outbreak Agent
    • AVG7_Run
    • AVG_CC
    • Avgserv9.exe
    • AVGW
    • AVG7_CC
    • AVG7_EMC
    • Vet Alert
    • VetTray
    • OfficeScanNT Monitor
    • avast!
    • PANDA
    • DownloadAccelerator
    • BearShare

    – HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • CleanUp
    • SECUR
    • NPROTECT
    • ccApp
    • ScriptBlocking
    • MCUpdateExe
    • VirusScan Online
    • MCAgentExe
    • VSOCheckTask
    • McRegWiz
    • MPFExe
    • MSKAGENTEXE
    • MSKDetectorExe
    • McVsRte
    • PCClient.exe
    • PCCIOMON.exe
    • pccguide.exe
    • Pop3trap.exe
    • PccPfw
    • tmproxy
    • McAfeeVirusScanService
    • NAV Agent
    • PCCClient.exe
    • SSDPSRV
    • rtvscn95
    • defwatch
    • vptray
    • ScanInicio
    • APVXDWIN
    • KAVPersonal50
    • kaspersky
    • TM Outbreak Agent
    • AVG7_Run
    • AVG_CC
    • Avgserv9.exe
    • AVGW
    • AVG7_CC
    • AVG7_EMC
    • Vet Alert
    • VetTray
    • OfficeScanNT Monitor
    • avast!
    • PANDA
    • DownloadAccelerator
    • BearShare

    Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
    • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
    • SOFTWARE\Symantec\InstalledApps
    • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
    • SOFTWARE\KasperskyLab\Components\101
    • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
    • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

    Folgende Registryschlüssel werden geändert:

    Verschiedenste Einstellungen des Explorers:
    – HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Neuer Wert:
    • "WebView"=dword:00000000
    • "ShowSuperHidden"=dword:00000000

    Verschiedenste Einstellungen des Explorers:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    CabinetState]
    Neuer Wert:
    • "FullPath" = dword:00000001

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

  • Viren und Trojaner News

    Dldr.iBill.Z

    Zurzeit werden E-Mails versandt, die angeblich von Amazon stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 715 Euro für einen bestellten Laptop hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern ein heimtückischenr Trojaner, der das betreffende System infiziert.

    Die E-Mail hat folgendes Aussehen

    Betreff: „Ihre Bestellung 2984234 bei Amazon.de“.

    Dateianhang: „Rechnung.doc.zip“

    E-Mail-Text: „Vielen Dank für Ihre Bestellung bei Amazon.de!
    Das Sony VAIO Notebook wird in Kürze versendet. Die Kosten von 715,- Euro werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer Bestellung entnehmen Sie bitte der angefügten Rechnung. Falls Sie die Bestellung stornieren möchte, bitte den in der Rechnung angegebenen Kundenservice anrufen und Ihre Bestellnummer bereithalten. Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen schriftlich zugestellt.

    Virus: Dldr.iBill.Z

    Virustyp: Trojaner

    Dateigröße: 12.800 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\%zufällige Buchstabenkombination%.exe

    Es wird versucht die folgenden Dateien herunterzuladen:
    – Die URLs sind folgende:
    http://www.hano.sk/aikido/**********win32.exe?l=
    CIBA Real Estate
    http://www.thaibaa.org/Webboard/**********win32.exe?l=
    http://www.thai-icecream.com/**********win32.exe?l=