Komodo 29.07.2010


Verbreitung:*****

Schaden:*****

Zurzeit überschwemmen E-Mails mit dem Wurm Komodo im Anhang viele Postfächer.
Wird der im Anhang befindliche Wurm entpackt und aktiviert,
kapert das Schadprogramm den PC.
Anschließend versucht der Wurm alle Sicherheitsprogramme wie Virenscanner und Firewall zu deaktivieren.
Zusätzlich werden die Sicherheitseinstellungen im Browser heruntergesetzt.
Dann lädt der Wurm Dateien von einem Server nach
und verschickt sich weiter über die auf dem System gefundenen E-Mail-Adressen.
Folgende Dateien durchsucht der Wurm nach E-Mail-Adressen:
.INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP; .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT.

Die E-Mail hat folgendes Aussehen

Betreff: "My Photo on Paris"

Dateianhang: "Picture.zip".

Größe des Dateianhangs: 48.829 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch.
Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
Erkannt als: W32/Elkern.C

Folgende Dateien werden gelöscht:

• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll

Die folgenden Registryschlüssel werden hinzugefügt,
um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails
von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Agent.24 02.08.2010


Verbreitung: *****
Schaden: *****

Der Trojaner Agent.24 ist per E-Mail unterwegs
und versucht den Anwendern ein falsches Windows-Update vorzugaukeln.
Die E-Mail ist angeblich von Microsoft und enthält
ein kritisches Sicherheits-Update für Windows 7/Vista/XP.
Das ist natürlich gelogen:
Wer dem Link in der E-Mail folgt,
erhält kein wichtiges Windows-Update,
sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen

Betreff: „Critical Microsoft Update for Windows 7/Vista/XP “.

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt,
um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt,
um den Service nach einem Neustart des Systems erneut zu laden:

– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination% ]
• "Type"=dword:00000010
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
• "DisplayName"="Print Spooler Service"
• "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\
%zufällige Buchstabenkombination%\Security]
• "Security"=%Hex Werte%

Mytob.PK 03.08.2010


Verbreitung: *****

Schaden: *****



Der Wurm Mytob.PK ist unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail, die behauptet,
der aktuelle E-Mail-Zugang wäre vom Provider deaktiviert worden.
Nähere Angaben zu dieser E-Mail können Sie angeblich
der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über den deaktivierten E-Mail-Account.
Stattdessen installiert sich der Wurm auf dem betreffenden System.


Die E-Mail hat folgendes Aussehen

Betreff - einer der folgenden:

• Email Account Suspension
• Important Notification
• Members Support
• Notice of account limitation
• Security measures
• Warning Message: Your services near to be closed.
• You have successfully updated your password
• Your Account is Suspended
• Your Account is Suspended For Security Reasons
• Your internet access is going to get suspended
Dateianhang - einer der folgenden:
• account-details
• account-info
• account-password
• account-report
• approved-password
• document
• email-details
• email-password
• important-details
• new-password
• password
• readme
• updated-password
Größe des Dateianhangs: 56.832 Bytes.
E-Mail-Text: „Dear user %username from receivers email address%”.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\rnathchk.exe
Folgende Einträge in der Windows Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"
Folgende Registry-Schlüssel werden hinzugefügt:
– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"


So schützen Sie Ihr System

Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

ZBot.R11
Verbreitung: ----->*****
Schaden: ----->*****

Der Trojaner ZBot.R11 ist per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid, weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Lastschrift

Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe

Größe des Dateianhangs: unterschiedlich.

E-Mail-Text: unterschiedlich.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Ink.b 06.08.2010

Verbreitung: *****
Schaden: *****

Eine neue Spam-Welle versucht ahnungslosen Anwendern einen Trojaner unterzuschieben. In der E-Mail wird behauptet, 750 Euro seien vom Konto des Empfängers abgebucht worden. Nähere Details könne man dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Auflistung des abgebuchten Geldbetrags, sondern der heimtückische Trojaner Ink.b, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen

Betreff: Abbuchung erfolgt

Dateianhang: Rechnung.zip

E-Mail-Text: „Es wurden 750 Euro von Ihrem Konto abgebucht. Die Auflistung der Kosten finden Sie im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Mytob.S 09.08.2010

Verbreitung: *****

Schaden: *****

Zurzeit ist der Wurm Mytob.S unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail,
die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich
der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte.
Stattdessen installiert sich der Wurm auf dem betreffenden System
und nimmt Kontakt mit einem Server auf.


Die E-Mail hat folgendes Aussehen

Betreff: Mail Transaction Failed

Dateianhang: „body.zip.exe“.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:

• %SYSDIR%\rnathchk.exe

Folgende Einträge in der Windows Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "RealPlayer Ath Check"="rnathchk.exe"

Folgende Registry-Schlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\OLE]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
• "RealPlayer Ath Check"="rnathchk.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "RealPlayer Ath Check"="rnathchk.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

MuJoin.AG 11.08.2010


Verbreitung: *****

Schaden: *****

Der Trojaner MuJoin.AG
ist wieder per E-Mail mit einer angeblichen Antwort
von einer Kontaktanzeige bei single.de unterwegs.
Die Absenderin der E-Mail mit dem Vornamen Marie behauptet,
schon seit längerer Zeit nach netten Kontakten für Freizeit,
Hobbys und mehr zu suchen.
Ein Bild von der Dame könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
erhält man jedoch kein Foto angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Hallo von Marie“.

Dateianhang: Foto- Marie.jpg.exe

Größe des Dateianhangs: 117.327 Bytes.

E-Mail-Text: „Hallo, Deine Kontaktanzeige bei single.de fand ich toll, auch Dein Bild und Deine Vorstellungen…“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgende Datei erstellt:
– %home%\Local Settings\Temp.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojan.Chafpin

Discovered: August 12, 2010
Updated: August 13, 2010 1:03:21 AM
Type: Trojan
Infection Length: 372,750 bytes
Systems Affected: Windows 2000, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Trojan.Chafpin is a Trojan horse that downloads files on to the compromised computer.

Note: Virus definitions prior to August 12, 2010 may detect this threat as Trojan.Dropper.
Antivirus Protection Dates

* Initial Rapid Release version August 12, 2010 revision 023
* Latest Rapid Release version August 12, 2010 revision 024
* Initial Daily Certified version pending
* Latest Daily Certified version pending
* Initial Weekly Certified release date August 18, 2010

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.
Threat Assessment
Wild

* Wild Level: Low
* Number of Infections: 0 - 49
* Number of Sites: 0 - 2
* Geographical Distribution: Low
* Threat Containment: Easy
* Removal: Easy

Damage

* Damage Level: Low
* Payload: Downloads files

Distribution

* Distribution Level: Low

Writeup By: Masaki Suenaga and Kevin Savage

Trojaner Dropper.N

Verbreitung: *****
Schaden: *****

Zurzeit ist der Trojaner Dropper.N per E-Mail unterwegs. Mit einem angeblichen Bußgeldbescheid von der Straßenaufsicht, versucht der Trojaner sich auf dem betreffenden System zu installieren. Der Text verweist auf einen Link in der E-Mail, den man öffnen soll. Wenn Sie den Link anklicken, erscheint kein Bußgeldbescheid, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Betreff: Bußgeldbescheid von der Straßenaufsicht.

E-Mail-Text: „Sehr geehrte® Frau/Herr ,

unter dem Aktenzeichen DR-10/07-2511 wird gegen Sie ein Verfahren
eingeleitet!

Die Gründe und näheren Umstände zu den Ihnen gemachten Vorwürfen
finden Sie hier:

http ://nl.cxxxxxxxxxxxxxxxxxxx. htm

Mit freundlichen Grüßen

Ihre Straßenaufsicht“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird folgende Datei erstellt und ausgeführt:
– %TEMPDIR%\tassvhost.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Sober.F 19.08.2010


Verbreitung: *****
Schaden: *****

Der altbekannte Wurm Sober.F ist wieder per E-Mail unterwegs und verstopft die Postfächer. In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind. Nähere Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Warnung!

Dateianhang: Schwarze-Liste

Größe des Dateianhangs: 42.496 Bytes

E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste


Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

• %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32

Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Chir.p 21.08.2010

Verbreitung: *****
Schaden: *****


Der Wurm Chir.p verbreitet sich zurzeit per E-Mail.
Der Wurm versucht mit Betreffzeilen,
die auf pornographische Inhalte schließen lassen,
den Empfänger zum Öffnen auf den beigefügten Anhang zu verführen.
Nach dem Doppelklick auf die scheinbare Grafikdatei,
erscheint dann kein Bild, sondern der Wurm installiert sich auf dem betreffenden System.
Der Wurm löscht dann wichtiger Dateien des installierten Anti-Viren-Programms,
um sich selbst vor Entdeckung zu schützen.
Anschließend missbraucht er das infizierte System, um sich selbst weiter zu versenden.

Die E-Mail hat folgendes Aussehen

Betreff: "Hot Movie", "Great Video", "SeX.mpg", "Sexy", "Crazy illegal Sex!", "Photos", "School girl fantasies gone bad"
Dateianhang: "Adults_9,zip.sCR", "Clipe,zip.sCr", "New Video,zip", "Photos,zip.sCR", oder "School.pif".
E-Mail-Text: "Re: Sex Video", "i just any one see my photos.", "It's Free ", "VIDEOS! FREE! (US$ 0,00)"
Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe
Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Tration.Gen 25.08.2010


Verbreitung: *****
Schaden: *****


Der Trojaner Tration.Gen ist massiv per E-Mail unterwegs. In der E-Mail ist zu lesen, dass die eigene E-Mail-Adresse gesperrt wird. Alle nötigen Informationen könne man dem Anhang der E-Mail entnehmen.
Nach einem Klick auf den Link in der E-Mail, erhält man jedoch keine Informationen über die Sperrung des eigenen E-Mail-Accounts, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Von: Webmaster.de

Betreff: Ihre Email-Adresse DEACTIVATION ACHTUNG!

Body: „Lieber Kontoinhaber,
diese Meldung wird von unserer zentralen Datenbank Messaging-Center für
alle unseren E-Mail-Kontoinhabern. Das Office of Information Technology
wird in den Prozess der Migration aller E-Mail-Konten aktualisiert
zentrale E-Mail-Dienste. Wir löschen alle nicht verwendeten
E-Mail-Konten, um mehr Raum für neue Konten erstellen.
Um zu verhindern, von Ihrem Konto geschlossen wird, müssen Sie die unten
angegebenen Informationen zu aktualisieren, so dass wir sicher sein,
dass Ihr Account noch aktiv ist derzeit bieten.
Bestätigen Sie Ihre E IDENTITY unten:
E-Mail-Benutzername: .......... .....
E-Mail-Passwort: ................
Lage: ................
Warnung! Kontoinhaber, die seine oder ihre E-Mail-Konto innerhalb 10days
nach Erhalt dieser Warnung wird seine oder ihre E-Mail-Konto dauerhaft
verlieren Update verweigert.
Danke für die Benutzung unserer Webmail-Diensten
Warnung Code: VX2G99AAJ
Mit freundlichen Grüßen,
Webmaster Team.”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Folgende Datei wird gelöscht:
• %cookies%\*.*

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
• %SYSDIR%\wsnpoem\audio.dll
• %SYSDIR%\wsnpoem\video.dll

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Alter Wert:
• Userinit = %SYSDIR%\userinit.exe,
Neuer Wert:
• Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
Neuer Wert:
• UID = %Name des Computers%_%Hexadezimale Zahl%

Die folgenden Ports werden geöffnet:
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Trojaner TR/Dldr.iBill.T

Verbreitung: *****
Schaden: *****

Zurzeit werden E-Mails versandt, die angeblich von dem schwedischen Möbelhaus Ikea stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von knapp 400 Euro hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern ein heimtückischen Trojaner TR/Dldr.iBill.T, der das betreffende System infiziert.
Eine genaue Beschreibung des digitalen Schädlings und Maßnahmen, wie Sie sich schützen können, finden Sie hier.

Die E-Mail hat folgendes Aussehen

Betreff: „Ihre IKEA Rechnung“.

Dateianhang: „Rechnung.pdf.exe“

E-Mail-Text: „Sehr geehrter IKEA Kunde, im Anhang finden Sie vorab Ihre Rechnung über 400 Euro. Diese wird Ihnen zusätzlich per Post zugesandt.”

Dateigröße: 35.840 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Sober.DS 30.08.2010


Verbreitung: *****

Schaden: *****

Der Wurm Sober.DS verbreitet sich zurzeit wieder per E-Mail.
Der Wurm versucht Sie mit Betreffzeilen,
die das Schließen Ihres E-Mail-Anschluss androhen,
zum Öffnen des beigefügten Anhangs zu verführen.
Nach dem Entpacken des Anhangs und einem Doppelklick auf die scheinbare Textdatei,
erscheinen dann keine Informationen,
sondern der Wurm installiert sich auf Ihrem System.
Der Wurm blockiert dann das installierte Anti-Viren-Programm,
um sich vor der Entdeckung zu schützen.
Anschließend missbraucht er das infizierte System,
um sich selbst weiter zu versenden.

Die E-Mail hat folgendes Aussehen

Betreff: "WARNING* Your Email Account Will Be Closed", "Email Account Suspension", "Notice: *** Last Warning *** ", "Your Email Account is Suspended For Security Reasons", "Account Alert" oder "Important Notification".

Dateianhang: "email-info.zip", "email-doc.zip", "account-details.zip" oder "information.zip".

Größe des Dateianhangs: 49.790 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

• %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32

Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Chir.D 31.08.2010


Verbreitung: *****

Schaden: *****

Der Wurm Chir.D ist unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail,
die einen Besuch des Absenders ankündigt.
Nähere Angaben zu dieser Person können Sie angeblich
der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über den Gast.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: %Benutzernamen der Emailadresse des Absenders% is coming!

Dateianhang: PP.exe

E-Mail-Text: Unterschiedlicher Text – der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\runouce.exe

Es wird folgende Datei erstellt:
– MIME enkodierte Kopie seiner selbst:
• Readme.eml

Der folgende Registryschlüssel wird hinzugefügt
um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern
– besonders gegenüber E-Mails mit Links oder mit Anhang!

iBill.T 04.09.2010


Verbreitung: *****

Schaden: *****

Zurzeit werden E-Mails versandt,
die angeblich einen Abbuchungsauftrag bestätigen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 5.672 Euro hin
– nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang steckt natürlich kein Abbuchungsauftrag,
sondern der heimtückische Trojaner iBill.T,
der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen

Betreff: Leihvertrag

Dateianhang: Rechnung.rar

Größe des Dateianhangs: 65 KByte.

E-Mail-Text: „Sehr geehrter Kunde, sehr geehrte Kundin!
Ihr Abbuchungsauftrag Nr. 140525114897 wurde erfüllt.
Ein Betrag von 5672.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Paypalabbuchung " angezeigt.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Trojaner ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\iasx.exe

Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "iasx"="iasx.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "zwq"=dword:000178d8

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Mytob.A 06.09.2010


Verbreitung: *****

Schaden: *****

Zurzeit ist der Wurm Mytob.A wieder unterwegs.
Der Wurm versteckt sich im Anhang einer E-Mail,
die scheinbar nicht zugestellt werden konnte.
Nähere Angaben zu dieser E-Mail können Sie angeblich
der im Anhang befindlichen Datei entnehmen.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet,
erhält man keine Informationen über die entsprechende E-Mail,
die nicht zugestellt werden konnte.
Stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Mail Delivery System”

Dateianhang: „body.zip.exe“.

Größe des Dateianhangs: 41.824 Bytes.

E-Mail-Text: „Mail transaction failed. Partial message is available.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %SYSDIR%\taskgmrs.exe
• C:\funny_pic.scr
• C:\see_this!!.scr
• C:\my_photo2005.scr
• C:\hellmsn.exe

Folgende Einträge in die Registry werden angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "WINTASK"="taskgmr.exe"
– [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails
von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

Dldr.Tiny7 08.09.2010


Verbreitung: *****

Schaden: *****

Der Trojaner Dldr.Tiny7 ist per E-Mail unterwegs
und lockt diesmal mit einem angeblichen Paket
das von der Post versendet wird.
Nach einem Doppelklick auf die im Anhang befindliche Datei,
werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt,
stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Ihr Post Paket N52777
Größe des Dateianhangs: 2.139 Bytes
E-Mail-Text unterschiedlich – meist: Ihr Post Paket N52777. Weitere Informationen zum Versandstatus des Pakets finden Sie im Anhang.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird versucht die folgenden Dateien herunter zuladen:
– Die URL ist folgende:
• h**p://w*w.abetterstart.com/x/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.
– Die URL ist folgende:
•h**p://w*w.abetterstart.com/c/2000/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Klez.E7 10.09.2010


Verbreitung: *****

Schaden:*****

Zurzeit werden E-Mails versandt,
die angeblich einen Abbuchungsauftrag bestätigen.
Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin –
nähere Details könne der Empfänger dem beigefügten Anhang entnehmen.
In dem Anhang stecken natürlich keine Informationen über den Abbuchungsauftrag,
sondern der heimtückische Wurm Klez.E7, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen

Betreff: Vertrag

Dateianhang: Rechnung.rar

Größe des Dateianhangs: 65 KByte.

E-Mail-Text: „Sehr geehrte Kundin, sehr geehrte Kunde,
Ihr Abbuchungsauftrag wurde erfüllt.
Sie finden die Details zu der Rechnung im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

Es werden folgende Dateien erstellt:
– Eine Datei für temporären Gebrauch.
Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
Weitere Untersuchungen haben ergeben,
dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C

Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll

Die folgenden Registryschlüssel werden hinzugefügt,
um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner
und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!