Beiträge von smirre

Agent.24

Der Trojaner Agent.24 ist per E-Mail unterwegs und versucht den Anwendern ein falsches Windows-Update vorzugaukeln. Die E-Mail ist angeblich von Microsoft und enthält ein kritisches Sicherheits-Update für Windows Vista/XP. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen

Betreff: „Critical Microsoft Update for Windows Vista and XP “.

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%

Hallo Frank,

ich wünsche dir alles Gute zum Geburtstag!!

Gruß smirre

Standard Tschechische Pay-TV-Plattform CS Link erweitert HDTV-Angebot auf Astra

[color="SandyBrown"]CS Link mietet weiteren Astra-Transponder
[/color]
Der tschechische Pay-TV-Anbieter CS Link hat zur Erweiterung seines digitalen Fernsehangebots einen weiteren Transponder auf der Satellitenposition 23,5 Grad Ost von SES Astra angemietet.

Die zusätzliche Kapazität soll eingesetzt werden, um ein erweitertes Programmpaket sowohl in HDTV als auch in SD-Qualität auszustrahlen, informierte der Satellitenbetreiber am Dienstagabend. CS Link überträgt in Tschechien derzeit 32 digitale Fernsehkanäle und 13 Radioprogramme und erreicht damit 350.000 Kunden. Insgesamt nutzt die Plattform künftig vier komplette Astra-Transponder.

Die Satellitenposition 23,5 Grad Ost ist darüber hinaus auch für den Internet-Satellitendienst "Astra2Connect" im Einsatz. Weiterhin werden die dort stationierten Himmelskörper Astra 3A, Astra 1E und Astra 1G genutzt, um Mitteleuropa und die Benelux-Länder mit TV-Signalen zu versorgen, Auch deutsche Kabelnetzbetreiber wie Kabel Deutschland greifen für die Zuspielung an Kopfstationen darauf zurück.

Quelle:sat+kabel

Crypt.XPACK.Gen11

Der Trojaner Crypt.XPACK.Gen11 ist erneut per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße übermittelt. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

Sober.F

Der altbekannte Wurm Sober.F ist wieder verstärkt per E-Mail unterwegs und verstopft viele Postfächer. In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind. Nähere Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Warnung!

Dateianhang: Schwarze-Liste

Größe des Dateianhangs: 42.496 Bytes

E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

• %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32

Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

ZBot.R8

Der Trojaner ZBot.R8 ist wieder per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid, weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Lastschrift

Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe

Größe des Dateianhangs: unterschiedlich.

E-Mail-Text: unterschiedlich.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

ich besitze eine 7025+, bin megazufrieden, und hoffentlich bald eine 8k

Premiere bereitet Aufschaltung von sechs Sky-HD-Kanälen auf Astra vor

Premiere trifft HDTV-Vorbereitungen.

Die Pay-TV-Plattform Premiere hat erste technische Vorbereitungen für die bevorstehende Erweiterung ihres HDTV-Programmangebots getroffen.

Ab sofort wird der Hauptsender Premiere-HD parallel über die Frequenz 11,023 GHz auf Astra 19,2 Grad Ost verbreitet. Auf dem Transponder wurden außerdem zwei Platzhalter für weitere HD-Sender aufgeschaltet. Auch auf der bisherigen Heimat von Premiere-HD und Discovery-HD (11,915 GHz, horizontal) wurden Kapazitäten für einen weiteren HDTV-Kanal unter der Signal-ID 131 reserviert.

Premiere hatte angekündigt, nach dem Neustart als Sky Deutschland ab dem 4. Juli insgesamt sechs hochauflösende Programmangebote anzubieten. Im einzelnen sind dies Sky Cinema HD, Disney Cinemagic HD, Sky Sport HD, National Geographic HD, History HD und Discovery HD.

Quelle: sat&kabel

diese Umfrage gab es schon mal, aber eine neue macht natürlich mehr Sinn, hast recht gladiator-01.

@Willy Wichtig

wieviel willst du denn ausgeben?

Neues Sicherheitssystem für Dreamboxen

Der Lünener Settop-Boxen-Hersteller Dream-Multimedia verzichtet künftig auf den Einsatz von Sicherheits-Hologrammen auf seinen Receivern und Umverpackungen.

Der Hersteller hatte die Kennzeichnung bereits im Jahr 2006 eingeführt, um der nach eigenen Angaben wachsenden Zahl von Receiver-Fälschungen zu begegnen (SAT+KABEL berichtete). Sie werde jetzt durch ein neuartiges Verifizierungssystem ersetzt. Dazu könne über die aktuelle Dreambox-Software ein spezielles Plugin gestartet werden, das eine Verifizierungsnummer generiert, teilte das Unternehmen am Mittwoch mit. Über die Homepage lasse sich dann prüfen, ob es sich bei dem Gerät um ein von Dream-Multimedia produziertes Original handele.

Mit dieser Maßnahme wolle man die Unterstützung für Kunden weiter optimieren und mögliche Verunsicherungen vermeiden, hieß es.

Quelle: sat+kabel

Mytob

Der Wurm Mytob ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Mail delivery failed: returning message to sender”

Dateianhang: details.txt.exe

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

Hi Migi,

herzlichen Glückwunsch zum neuen Titel

Gruß smirre

Happy Birthday Wauzzi!!

Zitat von Submoe;290401

Geile Kiste!

Was wird die wohl kosten?
Aber egal, werde sie mir krallen!

Gruß

angeblich €299,-

Glückwunsch gonsobär,

es fügt sich zusammen was zusammen gehört!

smirre

Hallo felice47!

Herzlich Willkommen im ZebraDem!!

Gruß smirre

Hallo sarsi!

Herzlich Willkommen im ZebraDem!!

Gruß smirre

Domwoot.B

Der Wurm Domwoot.B ist zurzeit verstärkt per E-Mail unterwegs und verstopft viele Postfächer. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse letzte Woche als Spam-Schleuder verwendet wurde und deshalb der E-Mail-Account kurzfristig gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen und Instruktionen die angedrohte Sperrung des E-Mail-Accounts zu verhindern, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Your Account is Suspended”

Dateianhang: readme.zip.exe

Größe des Dateianhangs: 86.681 Bytes

E-Mail-Text:
„We have temporarily suspended your email account %Emailadresse des Empfängers%. Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\svchosts.exe

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
• "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "Win32 Driver"="svchosts.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Win32 Driver"="svchosts.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\shit]
• "Type"=dword:00000020
• "Start"=dword:00000004
• "ErrorControl"=dword:00000001
• "ImagePath"=hex(2):"%SYSDIR%\svchosts.exe" -netsvcs
• "DisplayName"="Win32 Driver"
• "ObjectName"="LocalSystem"
• "FailureActions"=hex:%Hex Werte%
• "DeleteFlag"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Security]
• "Security"=hex:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\shit\Enum]
• "0"="Root\\LEGACY_SHIT\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT]
• "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000]
• "Service"="shit"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="Win32 Driver"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control]
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="shit"

Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:
• wab; html; adb; tbb; dbx; asp; php; xml; cgi; jsp; sht; htm

Es wird versucht folgende Information zu klauen:
– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
• :.secure; :!advscan; :.advscan; :.ipscan; :!ident; :.ident; :.Login;
:!Login; :!login; :.login; oper; NICK; OPER; PASS; USER; paypal.com;
PAYPAL.COM; account=; email=; exp=; address=; CVV2=; ccv2=; cvv2=;
card=; cctype=; ccnumber=; amex=; visa=; mastercard=; VISA=; pass=;
login=; password=; passwd=; PAYPAL; paypal

Hallo Herr Nase!

Ich wünsche dir alles Gute zum Geburtstag, vor allem Glück und Gesundheit!

Bleib so wie du bist!!

Gruß smirre