[Erledigt] Viren und Schädlinge Sammelthread

Trojaner Badware12


Verbreitung: *****

Schaden: *****

der Trojaner Badware12 ist unterwegs und versucht Anwendern ein falsches Microsoft Office-Update vorzugaukeln. Die E-Mail ist angeblich vom Onlinedienst MSN und enthält ein Update für Office 2010. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen:

Betreff: „Update for Office 2010 only“

E-Mail-Text: unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es werden folgende Dateien erstellt:

%SYSDIR%\recovery.exe
%SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Mydoom.CD


Verbreitung: *****

Schaden: *****

der Wurm Mydoom.CD verstopft zurzeit viele Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail, in der sich angeblich Fotos befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man dann jedoch keine Fotos, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Hello friend

Dateianhang: i_love_u.zip.exe

Größe des Dateianhangs: 28.160 Bytes

E-Mail-Text: Hey dear! Here is my photos, as I promised

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Folgende Datei wird auf dem System installiert:

%SYSDIR%\wmedia16.exe
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WMedia16 = wmedia16.exe
Der Wurm durchsucht folgende Dateien nach E-Mail-Adressen:

txt, htm, sht, php, asp, dbx, tbb, adb, wab
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm NetSky.PS


Verbreitung: *****

Schaden: *****

zurzeit sind E-Mails unterwegs, die behaupten, der Empfänger habe illegale Internetseiten besucht. Eine Liste der Internetseiten befindet sind im Anhang. In dem Anhang steckt natürlich keine Liste illegaler Internetseiten, sondern der Wurm NetSky.PS, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen:

Betreff: „Internet Provider Abuse“

Dateianhang: „details.pdf.exe“

E-Mail-Text: „I noticed that you have visited illegal websites. See the name in the list!“

Dateigröße: 50.688 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%WINDIR%\fvprotect.exe
Es werden folgende Dateien erstellt:
Es wird folgende Archivdatei mit der Kopie der Malware erstellt:

%WINDIR%\zipped.tmp – MIME enkodierte Kopie seiner selbst:
%WINDIR%\zip1.tmp
%WINDIR%\zip2.tmp
%WINDIR%\zip3.tmp
%WINDIR%\base64.tmp
%WINDIR%\userconfig9x.dll
Folgender Registryschlüssel wird hinzugefügt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
„Norton Antivirus AV"="%WINDIR%\FVProtect.exe”
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Netsky.D


Verbreitung: *****

Schaden: *****

der Wurm Netsky.D verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Here is the document

Dateianhang: yours.pif

Größe des Dateianhangs: 17.424 Bytes

E-Mail-Text: Your document is attached

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

WINDIR%\winlogon.exe
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"ICQ Net"=%WINDIR%\winlogon.exe -stealth"
Die Werte der folgenden Registryschlüssel werden gelöscht:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

DELETE ME
service

Explorer
system.

KasperskyAv
Taskmon

msgsvr32
Windows Services Host

Sentry



HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

au.exe
OLE

d3dupdate.exe
Taskmon

Explorer
Windows Services Host

KasperskyAv



Alle Werte der folgenden Registryschlüssel werden gelöscht:

HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKLM\System\CurrentControlSet\Services\WksPatch
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Badware


Verbreitung: *****

Schaden: *****

der Trojaner Badware ist unterwegs und versucht Anwendern ein falsches Windows-Update vorzugaukeln. Die E-Mail ist angeblich von Microsoft und enthält ein kritisches Sicherheits-Update.

Das ist natürlich gelogen, denn niemand würde ein Update per E-Mail versenden: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen:

Betreff: „Critical Microsoft Update“

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es werden folgende Dateien erstellt:

%SYSDIR%\recovery.exe
%SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Sober


Verbreitung: *****

Schaden: *****

der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten, die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehe:

Betreff: „Ihr Account wurde eingerichtet!“

Dateianhang: Service.pdf.exe

E-Mail-Text: „Danke das Sie sich für uns entschieden haben.“

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es wird folgendes Verzeichnis erstellt:

%WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:

An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
smss.exe
csrss.exe
services.exe
Eine Datei wird überschrieben:

%SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:

Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
%WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

WinData
c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner ZBot.dkx


Verbreitung: *****

Schaden: *****

eine mit einem Trojaner verseuchte E-Mail, behauptet angeblich ein Paket empfangen zu haben. Weitere Informationen über das Paket könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über das Paket, sondern der Trojaner ZBot.dkx, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen:

Betreff: „ Parcel “.

Dateianhang: „Bill.zip“

E-Mail-Text: „Good day, we have received a parcel for you, sent from France.

Dateigröße: 56.320 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\ntos.exe
Es werden folgende Dateien erstellt:

Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
%SYSDIR%\wnspoem\video.dll
%SYSDIR%\wnspoem\audio.dll
Folgender Registryschlüssel wird geändert:

[HKLM\software\microsoft\windows nt\currentversion\winlogon]
Alter Wert:
"userinit"="%SYSDIR%\userinit.exe,"
Neuer Wert:
"userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"
Der folgende Port wird geöffnet:

svchost.exe an einem zufälligen TCP port
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Lovgate.Z


Verbreitung: *****

Schaden: *****

der Wurm Lovgate.Z ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Attached one Gift for u

Der Dateiname des Anhangs: enjoy.exe

Größe des Dateianhangs: 179.200 Bytes

E-Mail-Text: Send me your comments

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%SYSDIR%\WinDriver.exe
%SYSDIR%\Winexe.exe
%SYSDIR%\WinGate.exe
%SYSDIR%\RAVMOND.exe
%SYSDIR%\IEXPLORE.EXE
%TEMPDIR%\%zufällige Buchstabenkombination%
c:\SysBoot.EXE
%WINDIR%\SYSTRA.EXE
%SYSDIR%\WinHelp.exe
Es werden folgende Dateien erstellt:

c:\AUTORUN.INF
Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
[AUTORUN]
Open="C:\SysBoot.EXE" /StartExplorer
%SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:

[HKLM\software\microsoft\windows\currentversion\run\]
"WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
"Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
"WinHelp"="%SYSDIR%\WinHelp.exe"
"Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
[HKLM\software\microsoft\windows\currentversion\runservices\]
"SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"
Folgender Registryschlüssel wird hinzugefügt:

[HKCU\software\microsoft\windows nt\currentversion\windows\]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"load"=""
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"run"="RAVMOND.exe"
Folgender Registryschlüssel wird geändert:

[HKCR\exefile\shell\open\command]
Alter Wert:
@="\"%1\" %*"
Neuer Wert:
@="%SYSDIR%\winexe.exe \"%1\" %*"
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Dldr.iBill.BD


Verbreitung: *****

Schaden: *****

der Trojaner Dldr.iBill.BD ist unterwegs und verbirgt sich hinter einer angeblichen Geldforderung. Nähere Informationen kann man aus dem Anhang der E-Mail entnehmen.

Das ist natürlich gelogen: Wer den Dateianhang öffnet, erhält keine Informationen über einen ausstehenden Betrag, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen:

Betreff: Auflistung der Kosten

E-Mail-Text: „Sehr geehrte Damen und Herren, Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt. Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Vattenfallabbuchung" angezeigt. Die Auflistung der Kosten finden Sie im Anhang in der

Dateianhang: Rechnung.zip

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:

%SYSDIR%\%zufällige Buchstabenkombination%.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Mudro.CY


Verbreitung: *****

Schaden: *****

der Trojaner Mudro.CY ist per E-Mail mit einer angeblichen Antwort von einer Kontakt-Anfrage bei Model-Begleitung unterwegs. Die Absenderin der E-Mail mit dem Vornamen „Dagmar“ würde sich gerne einfach mal nett ausführen lassen und einen schönen Abend verbringen.

Ein Bild von Dagmar könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Foto der jungen Dame angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „Hallo von Dagmar“

Dateianhang: Foto-Dagmar__JPG.com

E-Mail-Text: „Hallo von Dagmar

Deine Kontakt-Anfrage bei Model-Begleitung habe ich gelesen und möchte mich kurz vorstellen. Diskretion ist von meiner Seite absolut gegeben, ich mache das mal aus Neugier und Spaß, habe keine finanziellen Interessen. Möchte mich einfach mal nett ausführen lassen und einen schönen Abend verbringen.
Ich komme aus der Nähe des Ortes, den Du angegeben hast für ein Treffen. Ich bin 28 Jahre, Angestellte, schlank, lange schöne Haare, gepflegt, aufgeschlossen, offen, kontaktfreudig und sehr neugierig.

Hängt auch damit zusammen, dass ich zurzeit in keiner Beziehung bin und keinen Freund habe.

Ich schicke mal ein Bild von mir mit, als gepacktes Format. Wenn noch Interesse besteht, melde Dich, wenn Du mir Deine Tel. Nummer, oder Handy Nummer schreibst, dann kann ich mich nach der Arbeit gern mal bei Dir melden.
Bin schon gespannt, Gruß, Dagmar“

Dateigröße: 98.469 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Wird der Trojaner ausgeführt, erstellt er folgende Datei:

%TEMPDIR%\winnitask.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Tearec.AZ


Verbreitung: *****

Schaden: *****

der Wurm Tearec.AZ ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: You Must View This Videoclip!

Der Dateiname des Anhangs: New Video,zip

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: hello, i send the file. bye

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%WINDIR%\Rundll16.exe
%SYSDIR%\scanregw.exe
C:\WINZIP_TMP.exe
%SYSDIR%\Update.exe
%SYSDIR%\Winzip.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschrieben:
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

%alle Verzeichnisse%
Dateiendungen:

.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
Mit folgendem Inhalt:

DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:

%PROGRAM FILES%\DAP\*.dll
%PROGRAM FILES%\BearShare\*.dll

%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2003\*.exe

%PROGRAM FILES%\Symantec\
Common Files\Symantec Shared\*.*
%PROGRAM FILES%\
Norton AntiVirus\*.exe

%PROGRAM FILES%\
Alwil Software\Avast4\*.exe
%PROGRAM FILES%
\McAfee.com\VSO\*.exe

%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*

%PROGRAM FILES%\Trend Micro\
PC-cillin 2002\*.exe
%PROGRAM FILES%\Trend Micro\
Internet Security\*.exe

%PROGRAM FILES%\NavNT\*.exe
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.ppl

%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.exe
%PROGRAM FILES%\
Grisoft\AVG7\*.dll

%PROGRAM FILES%\
TREND MICRO\OfficeScan\*.dll
%PROGRAM FILES%\
Trend Micro\OfficeScan Client\*.exe

%PROGRAM FILES%\LimeWire\
LimeWire 4.2.6\LimeWire.jar
%PROGRAM FILES%\Morpheus\*.dll

%PROGRAM FILES%\CA\
eTrust EZ Armor\eTrust EZ Antivirus\*.*
%PROGRAM FILES%\Common Files\
symantec shared\*.*

%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal Pro\*.*

%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*

%PROGRAM FILES%\
McAfee.com\VSO\*.*
%PROGRAM FILES%\NavNT\*.*

%PROGRAM FILES%\
Norton AntiVirus\*.*
%PROGRAM FILES%\Panda Software\
Panda Antivirus 6.0\*.*

%PROGRAM FILES%\Panda
Software\Panda Antivirus Platinum\*.*
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*

%PROGRAM FILES%\
Trend Micro\Internet Security\*.*
%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.*

%PROGRAM FILES%\Trend Micro\
PC-cillin 2003 \*.*



Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"
Tipp: DLL und Registry entschlüsselt >> hier!

Die Werte der folgenden Registryschlüssel werden gelöscht:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CleanUp
SECUR
NPROTECT

ccApp
ScriptBlocking
MCUpdateExe

VirusScan Online
MCAgentExe
VSOCheckTask

McRegWiz
MPFExe
MSKAGENTEXE

MSKDetectorExe
McVsRte
PCClient.exe

PCCIOMON.exe
pccguide.exe
Pop3trap.exe

PccPfw
tmproxy
McAfeeVirusScanService

NAV Agent
PCCClient.exe
SSDPSRV

rtvscn95
defwatch
vptray

ScanInicio
APVXDWIN
KAVPersonal50

kaspersky
TM Outbreak Agent
AVG7_Run

AVG_CC
Avgserv9.exe
AVGW

AVG7_CC
AVG7_EMC
Vet Alert

VetTray
OfficeScanNT Monitor
avast!

PANDA
DownloadAccelerator
BearShare


HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CleanUp
SECUR
NPROTECT

ccApp
ScriptBlocking
MCUpdateExe

VirusScan Online
MCAgentExe
VSOCheckTask

McRegWiz
MPFExe
MSKAGENTEXE

MSKDetectorExe
McVsRte
PCClient.exe

PCCIOMON.exe
pccguide.exe
Pop3trap.exe

PccPfw
tmproxy
McAfeeVirusScanService

NAV Agent
PCCClient.exe
SSDPSRV

rtvscn95
defwatch
vptray

ScanInicio
APVXDWIN
KAVPersonal50

kaspersky
TM Outbreak Agent
AVG7_Run

AVG_CC
Avgserv9.exe
AVGW

AVG7_CC
AVG7_EMC
Vet Alert

VetTray
OfficeScanNT Monitor
avast!

PANDA
DownloadAccelerator
BearShare


Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:

Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
SOFTWARE\Symantec\InstalledApps
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\Components\101
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Neuer Wert:
"WebView"=dword:00000000
"ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
Neuer Wert:
"FullPath" = dword:00000001
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Der Wurm McMaggot.AB
versucht über eine scheinbare E-Mail von Coca Cola das System zu kapern.
Nutzen Sie den kostenlosen Viren- und Trojaner-Warndienst


Der Wurm McMaggot.AB ist per E-Mail unterwegs.
Die E-Mail ist angeblich von Coca Cola verschickt worden.
Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch keine Informationen von Coca Cola,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Coca Cola is proud to accounce our new Promotion.

Dateianhang: coupon.zip

Größe des Dateianhangs: 449.024 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vxworks.exe

Es wird folgende Datei erstellt und ausgeführt:
– %SYSDIR%\qnx.exe

Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wind River Systems"="c:\windows\\system32\\vxworks.exe

Folgende Registryschlüssel werden geändert:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
Neuer Wert: :\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails
von unbekannten Absendern
– besonders gegenüber E-Mails mit Links oder mit Anhang

Wurm Tearec.AZF


Verbreitung: *****

Schaden: *****

der Wurm Tearec.AZF ist per E-Mail unterwegs und lockt mit einem angeblichen Video von Nicole Kidman. Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Video angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Nicole Kidman video - you must view this videoclip

Dateiname: Video_part.mim

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text: Please see the video

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Kopien seiner selbst werden hier erzeugt:

%WINDIR%\Rundll16.exe
%SYSDIR%\scanregw.exe
C:\WINZIP_TMP.exe
%SYSDIR%\Update.exe
%SYSDIR%\Winzip.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschrieben:
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

%alle Verzeichnisse%
Dateiendungen:

.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
Mit folgendem Inhalt:

DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:

%PROGRAM FILES%\DAP\*.dll
%PROGRAM FILES%\
LimeWire\LimeWire 4.2.6\LimeWire.jar

%PROGRAM FILES%\BearShare\*.dll
%PROGRAM FILES%\Morpheus\*.dll

%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\CA\
eTrust EZ Armor\eTrust EZ Antivirus\*.*

%PROGRAM FILES%\Trend Micro\
PC-cillin 2003\*.exe
%PROGRAM FILES%\
Common Files\symantec shared\*.*

%PROGRAM FILES%\Symantec\
Common Files\Symantec Shared\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.*

%PROGRAM FILES%\
Norton AntiVirus\*.exe
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal Pro\*.*

%PROGRAM FILES%\
Alwil Software\Avast4\*.exe
%PROGRAM FILES%\
McAfee.com\Agent\*.*

%PROGRAM FILES%\
McAfee.com\VSO\*.exe
%PROGRAM FILES%\
McAfee.com\shared\*.*

%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\VSO\*.*

%PROGRAM FILES%\
McAfee.com\shared\*.*
%PROGRAM FILES%\NavNT\*.*

%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.exe
%PROGRAM FILES%\
Norton AntiVirus\*.*

%PROGRAM FILES%\
Trend Micro\Internet Security\*.exe
%PROGRAM FILES%\
Panda Software\Panda Antivirus 6.0\*.*

%PROGRAM FILES%\NavNT\*.exe
%PROGRAM FILES%\Panda Software\
Panda Antivirus Platinum\*.*

%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.ppl
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*

%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.exe
%PROGRAM FILES%\
Trend Micro\Internet Security\*.*

%PROGRAM FILES%\Grisoft\AVG7\*.dll
%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.*

%PROGRAM FILES%\
TREND MICRO\OfficeScan\*.dll
%PROGRAM FILES%\
Trend Micro\PC-cillin 2003 \*.*

%PROGRAM FILES%\
Trend Micro\OfficeScan Client\*.exe



Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"
Die Werte der folgenden Registryschlüssel werden gelöscht:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
PCCIOMON.exe
kaspersky

SECUR
pccguide.exe
TM Outbreak Agent

NPROTECT
Pop3trap.exe
AVG7_Run

ccApp
PccPfw
AVG_CC

ScriptBlocking
tmproxy
Avgserv9.exe

MCUpdateExe
McAfeeVirusScanService
AVGW

VirusScan Online
NAV Agent
AVG7_CC

MCAgentExe
PCCClient.exe
AVG7_EMC

VSOCheckTask
SSDPSRV
Vet Alert

McRegWiz
rtvscn95
VetTray

MPFExe
defwatch
OfficeScanNT Monitor

MSKAGENTEXE
vptray
avast!

MSKDetectorExe
ScanInicio
PANDA

McVsRte
APVXDWIN
DownloadAccelerator

PCClient.exe
KAVPersonal50
BearShare


HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
PCCIOMON.exe
kaspersky

SECUR
pccguide.exe
TM Outbreak Agent

NPROTECT
Pop3trap.exe
AVG7_Run

ccApp
PccPfw
AVG_CC

ScriptBlocking
tmproxy
Avgserv9.exe

MCUpdateExe
McAfeeVirusScanService
AVGW

VirusScan Online
NAV Agent
AVG7_CC

MCAgentExe
PCCClient.exe
AVG7_EMC

VSOCheckTask
SSDPSRV
Vet Alert

McRegWiz
rtvscn95
VetTray

MPFExe
defwatch
OfficeScanNT Monitor

MSKAGENTEXE
vptray
avast!

MSKDetectorExe
ScanInicio
PANDA

McVsRte
APVXDWIN
DownloadAccelerator

PCClient.exe
KAVPersonal50
BearShare


Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:

Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
SOFTWARE\Symantec\InstalledApps
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\Components\101
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Neuer Wert:
"WebView"=dword:00000000
"ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
Neuer Wert:
"FullPath" = dword:00000001
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm BackNine.Z3


Verbreitung: *****

Schaden: *****

eine mit dem Wurm BackNine.Z3 verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn. Weitere Informationen könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über den Geldsegen, sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehen:

Betreff: „You are a very lucky, read this mail!“

Dateianhang: „BigCashForYou.exe.txt“

E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“

Dateigröße: 20.992 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es werden folgende Dateien erstellt:

%SYSDIR%\recovery.exe
%SYSDIR%\kkk.exe
%SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = %SYSDIR%\recovery.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Dldr.Stration.Gen


Verbreitung: *****

Schaden: *****

der Trojaner Dldr.Stration.Gen ist per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.

Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: „ Ihre E-Mail Adresse <E-Mail-Adresse> wird gesperrt”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:
Lädt eine schädliche Dateien herunter und nimmt Verbindung mit einem Server auf.

So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Badware


Verbreitung: *****

Schaden: *****

Vorsicht! Nachgemachter Windows-Patch versucht Ihr System zu kapern

Der Trojaner Badware kommt per E-Mail
und versucht über einen nachgemachten Windows-Patch das System zu kapern.



Hallo,der Trojaner Badware ist wieder unterwegs
und versucht Anwendern ein falsches Windows-Update vorzugaukeln.
Die E-Mail ist angeblich von Microsoft und enthält ein kritisches Sicherheits-Update.

Das ist natürlich gelogen:
Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update,
sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen:

Betreff: „Critical Microsoft Update“

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es werden folgende Dateien erstellt:

%SYSDIR%\recovery.exe
%SYSDIR%\kkk.exe
%SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = %SYSDIR%\recovery.exe

So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern
– besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner Former.X2


Verbreitung: *****

Schaden: *****

Der Trojaner Former.X2 ist per E-Mail unterwegs. Der Trojaner versteckt sich im Anhang der E-Mail, die eine Rechnung enthalten soll. Wird die sich im Anhang befindende gepackte Datei geöffnet, erhält man jedoch keine Informationen über eine Rechnung, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „New Bill for register”

Body: „Hello register, the new bill is attached. Password is 123. Please pay in time”

Dateianhang: „bill.zip“.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Bagle.FN


Verbreitung: *****

Schaden: *****

Der Wurm Bagle.FN ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich ein Fax enthalten soll. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über ein Fax. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Fax Message

Dateianhang: Message is in attach

Größe des Dateianhangs: 20.000 Bytes

E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie wird hier angelegt:

%SYSDIR%\windspl.exe
%SYSDIR%\windspl.exeopen
%SYSDIR%\windspl.exeopenopen

Es wird folgende Datei erstellt und ausgeführt:

%WINDIR%\regisp32.exe

Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
DsplObjects = %SYSDIR%\windspl.exe

So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Tearec.AI


Verbreitung: *****

Schaden: *****

Der Wurm Tearec.AI ist zurzeit wieder per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: You Must View
Dateianhang: Clipe.zip.exe
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: See my photos. It's Free
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System

Kopien seiner selbst werden hier erzeugt:

%WINDIR%\Rundll16.exe
%SYSDIR%\scanregw.exe
C:\WINZIP_TMP.exe
%SYSDIR%\Update.exe
%SYSDIR%\Winzip.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.

Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
%alle Verzeichnisse%

Dateiendungen:

.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX

Mit folgendem Inhalt:

DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:

%PROGRAM FILES%\DAP\*.dll
%PROGRAM FILES%\BearShare\*.dll
%PROGRAM FILES%\Symantec\LiveUpdate\*.*
%PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
%PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
%PROGRAM FILES%\Norton AntiVirus\*.exe
%PROGRAM FILES%\Alwil Software\Avast4\*.exe
%PROGRAM FILES%\McAfee.com\VSO\*.exe
%PROGRAM FILES%\McAfee.com\Agent\*.*
%PROGRAM FILES%\McAfee.com\shared\*.*
%PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
%PROGRAM FILES%\Trend Micro\Internet Security\*.exe
%PROGRAM FILES%\NavNT\*.exe
%PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
%PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
%PROGRAM FILES%\Grisoft\AVG7\*.dll
%PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
%PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
%PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
%PROGRAM FILES%\Morpheus\*.dll
%PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
%PROGRAM FILES%\Common Files\symantec shared\*.*
%PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
%PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
%PROGRAM FILES%\McAfee.com\Agent\*.*
%PROGRAM FILES%\McAfee.com\shared\*.*
%PROGRAM FILES%\McAfee.com\VSO\*.*
%PROGRAM FILES%\NavNT\*.*
%PROGRAM FILES%\Norton AntiVirus\*.*
%PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
%PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
%PROGRAM FILES%\Symantec\LiveUpdate\*.*
%PROGRAM FILES%\Trend Micro\Internet Security\*.*
%PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
%PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:

SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion
SOFTWARE\Symantec\InstalledApps
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\Components\101
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Neuer Wert:
• "WebView"=dword:00000000
• "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Neuer Wert:
• "FullPath" = dword:00000001
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Wurm Warney.S


Verbreitung: *****

Schaden: *****

Der Wurm Warney.S verstopft zurzeit die Postfächer. Der Wurm versteckt sich im Anhang einer E-Mail. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.

Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen. Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Wichtige Nachricht für Sie im Anhang

Dateianhang: info.pdf.exe

Größe des Dateianhangs: 64.721 Bytes

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\winlogon.exe

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

Die Werte der folgenden Registryschlüssel werden gelöscht:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

Alle Werte der folgenden Registryschlüssel werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch


So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

quelle:virenticker