Beiträge von smirre

  • Viren und Trojaner News

    Traxgy.B4

    Der Wurm Traxgy.B4 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer. Im Anhang befindet sich ein angebliches Dokument. Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen. Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
    Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet, stattdessen installiert sich der Wurm auf dem System.

    Die E-Mail hat folgendes Aussehen

    Betreff: %chinesischer Text%

    Dateianhang: Document

    Die Dateierweiterung ist eine der folgenden: .exe

    Größe des Dateianhangs: 57.344 Bytes

    E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
    • A:\Explorer.EXE
    • A:\WINDOWS.EXE
    • %Laufwerk%:\WINDOWS.EXE
    • %Laufwerk%:\ghost.bat
    • %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

    Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
    – An: %WINDIR%\\system\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\help\ Mit einem der folgenden Namen:
    • \%Hexadezimale Zahl%.com

    Es werden folgende Dateien erstellt:

    – Nicht virulente Datei:
    • %alle Verzeichnisse%\desktop.ini

    – A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    – %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    – %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

    Der Wert des folgenden Registry-Schlüssel wird gelöscht:

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • KaV300XP

    Folgende Registry-Schlüssel werden geändert:

    Verschiedenste Einstellungen des Explorers:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    CabinetState]
    Alter Wert:
    • fullpath = %Einstellungen des Benutzers%
    Neuer Wert:
    • fullpath = dword:00000001

    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    Alter Wert:
    • HideFileExt = %Einstellungen des Benutzers%
    • Hidden = %Einstellungen des Benutzers%
    Neuer Wert:
    • HideFileExt = dword:00000001
    • Hidden = dword:00000000

  • Viren und Trojaner News

    Mytob.22

    Der Wurm Mytob.22 ist wieder verstärkt unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
    Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen:

    Betreff – einer der folgenden:
    • Mail delivery failed: returning message to sender
    • Mail Delivery System
    • Mail Transaction Failed
    • Delivery Status Notification (Failure)
    • Returned mail: see transcript for details

    Dateianhang: details.txt.exe.

    E-Mail-Text – einer der folgenden:
    • „Mail transaction failed. Partial message is available.“
    • „The following addresses had permanent fatal errors.”
    • „The message you sent to sigil777.com/trash50534137 was rejected because the quota for the mailbox has been exceeded.”
    • „A message that you sent could not be delivered to one or more of its recipients. The following addresses failed: [email protected]

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Wird der Wurm ausgeführt, erstellt er folgende Dateien:
    • %SYSDIR%\taskgmrs.exe
    • C:\funny_pic.scr
    • C:\see_this!!.scr
    • C:\my_photo2005.scr
    • C:\hellmsn.exe

    Folgende Einträge in die Registry werden angelegt:
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "WINTASK"="taskgmr.exe"
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    • "WINTASK"="taskgmr.exe"
    – [HKCU\Software\Microsoft\OLE]
    • "WINTASK"="taskgmr.exe"
    – [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
    • "WINTASK"="taskgmr.exe"

  • Viren und Trojaner News

    Crypt.XPACK.Gen10

    Der Trojaner Crypt.XPACK.Gen10 ist per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: You have received an eCard

    E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

    Adresse des Absenders*: [email protected]
    * Bitte beachten Sie, dass die Absender-Adresse häufig gefälscht ist, es sich also meist nicht um den Urheber der schadhaften E-Mail handelt.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Kopien seiner selbst werden hier erzeugt:
    • %home%\Application Data\hidn\hldrrr.exe
    • %home%\Application Data\hidn\hidn.exe

    Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
    • c:\temp.zip

    Es wird folgende Datei erstellt:
    – c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
    • Text decoding error.

    Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
    – [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • drv_st_key = %home%\Application Data\hidn\hidn2.exe

    Alle Werte des folgenden Registryschlüssel werden gelöscht:
    • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

    Folgender Registryschlüssel wird hinzugefügt:
    – [HKCU\Software\FirstRun]
    • FirstRun = 1

    Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
    – [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
    Alter Wert:
    • Start = %Einstellungen des Benutzers%
    Neuer Wert:
    • Start = 4

  • DM800 mit ORF-Karte und CCcam

    nein, da musst du nix anfordern.

    hat bei mir auch ein wenig gedauert, hast du diesen Eintrag in der CCcam.cfg deaktiviert?

    #DISABLE EMM : yes

    Evtl. Box mit gesteckter Karte nochmal neu starten und ein paar mal zwischen den ORF Sender umschalten.

  • Viren und Trojaner News

    Dldr.iBill.X

    Zurzeit werden E-Mails versandt, die angeblich von Amazon stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 1.215 Euro für einen bestellten Laptop hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern ein heimtückischer Trojaner, der das betreffende System infiziert.

    Die E-Mail hat folgendes Aussehen

    Betreff: „Ihre Bestellung 2984931 bei Amazon.de“.

    Dateianhang: „Rechnung.doc.zip“

    E-Mail-Text: „Vielen Dank fur Ihre Bestellung bei Amazon.de!
    Das Sony VAIO Notebook wird in Kürze versendet. Die Kosten von 1215,- Euro werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer Bestellung entnehmen Sie bitte der angefügten Rechnung. Falls Sie die Bestellung stornieren möchten, bitte den in der Rechnung angegebenen, kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten. Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen schriftlich zugestellt.“

    Virus: Dldr.iBill.X

    Virustyp: Trojaner

    Dateigröße: 12.800 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
    • %SYSDIR%\iasx.exe

    Folgende Einträge werden in der Registry angelegt:
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "iasx"="iasx.exe"

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
    • "zwq"=dword:000178d8

  • Dreambox 600 nimmt nicht korrekt auf!

    Zitat von der-schalker;286365

    ..dann den Hinweis gibt dass eine Nagra Karte eingeführt wurde und dann läuft alles im live-TV wieder.


    Hast du dieses Phänomen auch wenn du nichts aufnimmst?

    An der Festplatte liegt es meiner Meinung nach nicht, initialisiert und formatiert hast du sie?

  • Viren und Trojaner News

    MuJoin.AG

    Der Trojaner MuJoin.AG ist wieder per E-Mail mit einer angeblichen Antwort von einer Kontaktanzeige bei single.de unterwegs. Die Absenderin der E-Mail mit dem Vornamen „Simone“ behauptet, schon seit längerer Zeit nach netten Kontakten für Freizeit, Hobbys und Erotik zu suchen. Ein Bild von Simone könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Foto angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: „Hallo von Simone“.

    Dateianhang: Foto-Simone.com.exe

    Größe des Dateianhangs: 106.464 Bytes.

    E-Mail-Text:
    „Hallo,
    Deine Kontaktanzeige bei single.de fand ich toll, auch
    Dein Bild und Deine Vorstellungen.
    Ich suche auch schon seit längerer Zeit nach netten Kontakten,
    für Freizeit, Hobbys und Erotik.
    Ich schicke mal ein Bild von mir mit, wenn Du Interesse hast,
    melde Dich, damit wir ein Treffen vereinbaren können.
    Gern mit Tel. Nummer.
    Bild von mir im Anhang.
    Bis bald, Simone“

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Es wird folgende Datei erstellt:
    – %home%\Local Settings\Temp.

  • Viren und Trojaner News

    ZBot.R7

    Der Trojaner ZBot.R7 ist per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid, weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung, stattdessen installiert sich der Trojaner auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Lastschrift

    Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe

    Größe des Dateianhangs: unterschiedlich.

    E-Mail-Text: unterschiedlich.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\ntos.exe

    Folgende Datei wird gelöscht:
    • %cookies%\*.*

    Es werden folgende Dateien erstellt:

    – Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
    • %SYSDIR%\wsnpoem\audio.dll
    • %SYSDIR%\wsnpoem\video.dll

    Folgende Registryschlüssel werden geändert:

    – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Alter Wert:
    • Userinit = %SYSDIR%\userinit.exe,
    Neuer Wert:
    • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

    – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
    Neuer Wert:
    • UID = %Name des Computers%_%Hexadezimale Zahl%

    Die folgenden Ports werden geöffnet:
    – svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
    – svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
    – svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.