Komodo 29.07.2010
Verbreitung:*****
Schaden:*****
Zurzeit überschwemmen E-Mails mit dem Wurm Komodo im Anhang viele Postfächer.
Wird der im Anhang befindliche Wurm entpackt und aktiviert,
kapert das Schadprogramm den PC.
Anschließend versucht der Wurm alle Sicherheitsprogramme wie Virenscanner und Firewall zu deaktivieren.
Zusätzlich werden die Sicherheitseinstellungen im Browser heruntergesetzt.
Dann lädt der Wurm Dateien von einem Server nach
und verschickt sich weiter über die auf dem System gefundenen E-Mail-Adressen.
Folgende Dateien durchsucht der Wurm nach E-Mail-Adressen:
.INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP; .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT.
Die E-Mail hat folgendes Aussehen
Betreff: "My Photo on Paris"
Dateianhang: "Picture.zip".
Größe des Dateianhangs: 48.829 Bytes.
E-Mail-Text: Unterschiedlicher Text.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Es werden folgende Dateien erstellt:
– Eine Datei für temporären Gebrauch.
Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
Erkannt als: W32/Elkern.C
Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll
Die folgenden Registryschlüssel werden hinzugefügt,
um den Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
• Security = %hex values
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails
von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
Verbreitung:*****
Schaden:*****
Zurzeit überschwemmen E-Mails mit dem Wurm Komodo im Anhang viele Postfächer.
Wird der im Anhang befindliche Wurm entpackt und aktiviert,
kapert das Schadprogramm den PC.
Anschließend versucht der Wurm alle Sicherheitsprogramme wie Virenscanner und Firewall zu deaktivieren.
Zusätzlich werden die Sicherheitseinstellungen im Browser heruntergesetzt.
Dann lädt der Wurm Dateien von einem Server nach
und verschickt sich weiter über die auf dem System gefundenen E-Mail-Adressen.
Folgende Dateien durchsucht der Wurm nach E-Mail-Adressen:
.INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP; .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT.
Die E-Mail hat folgendes Aussehen
Betreff: "My Photo on Paris"
Dateianhang: "Picture.zip".
Größe des Dateianhangs: 48.829 Bytes.
E-Mail-Text: Unterschiedlicher Text.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Es werden folgende Dateien erstellt:
– Eine Datei für temporären Gebrauch.
Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
Erkannt als: W32/Elkern.C
Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll
Die folgenden Registryschlüssel werden hinzugefügt,
um den Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
• Security = %hex values
– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails
von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
KEINE FRAGEN PER PN DIESE WERDEN OHNE AUSNAHME GELÖSCHT FRAGEN GEHÖREN INS FORUM
KEINE FRAGEN IM VORSTELLUNGSBEREICH FRAGEN GEHÖREN INS FORUM
Anfänger Tipps die nicht alle im Handbuch stehen##Die wichtigsten Links von Vuplus Support!## QUICK-START-GUIDE für Neuankömmlinge...##Anfängerfragen & Notdienst ##JA / NEIN Fragen für Anfänger ##FAQ