1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Aktuelle Virenwarnungen

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von akuta, 25. November 2009.

  1. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    Ntech7

    23.11.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Wurm Ntech7 ist wieder unterwegs – diesmal kommt die E-Mail mit deutscher Sprache. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Versprochenes Spiel im Anhang.

    Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

    Größe des Dateianhangs: 20.992 Bytes.

    E-Mail-Text: Unterschiedlicher Text.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
    – %SYSDIR%\driver\secdrv.sys

    – %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

    – %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C

    – %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

    Es wird versucht folgende Datei auszuführen:
    • %SYSDIR%\driver\runtime2.sys
    Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

    Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • startdrv"="%WINDIR%\Temp\startdrv.exe"

    Folgende Registryschlüssel werden hinzugefügt:

    – HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV{SPAW EDITOR}00\Control\
    ActiveService
    • Secdrv

    – HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME{SPAW EDITOR}00\Control\
    ActiveService
    • runtime

    – HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2{SPAW EDITOR}00\Control\
    ActiveService
    • runtime2


    virenticker.de
     
    Zuletzt von einem Moderator bearbeitet: 3. Oktober 2011
    #1
    hund2, Black66, joda1966 und 5 anderen gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. d-matic
    Offline

    d-matic Ist oft hier

    Registriert:
    12. August 2008
    Beiträge:
    153
    Zustimmungen:
    5
    Punkte für Erfolge:
    18
    AW: Aktuelle Virenwarnungen

    Na - dann hoffe ich mal das ich solche e-mail nicht bekommen werde - aber weiß ja das da nie ein spiel ist !!!! VORSICHT HALT !!!!:smoke:
     
    #2
  4. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Tearec.AZG

    26.11.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Wurm Tearec.AZG ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: My photos

    Dateiname des Anhangs: Photos,zip.exe

    Größe des Dateianhangs: 94.154 Bytes

    E-Mail-Text: photo photo2 photo3

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %WINDIR%\Rundll16.exe
    • %SYSDIR%\scanregw.exe
    • C:\WINZIP_TMP.exe
    • %SYSDIR%\Update.exe
    • %SYSDIR%\Winzip.exe
    • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

    Folgende Dateien werden überschreiben.
    Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3


    – %alle Verzeichnisse%

    Dateiendungen:
    • .HTM
    • .DBX
    • .EML
    • .MSG
    • .OFT
    • .NWS
    • .VCF
    • .MBX

    Mit folgendem Inhalt:
    • DATA Error [47 0F 94 93 F4 K5]

    Folgende Dateien werden gelöscht:
    • %PROGRAM FILES%\DAP\*.dll
    • %PROGRAM FILES%\BearShare\*.dll
    • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
    • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
    • %PROGRAM FILES%\Norton AntiVirus\*.exe
    • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
    • %PROGRAM FILES%\McAfee.com\VSO\*.exe
    • %PROGRAM FILES%\McAfee.com\Agent\*.*
    • %PROGRAM FILES%\McAfee.com\shared\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
    • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
    • %PROGRAM FILES%\NavNT\*.exe
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
    • %PROGRAM FILES%\Grisoft\AVG7\*.dll
    • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
    • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
    • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
    • %PROGRAM FILES%\Morpheus\*.dll
    • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
    • %PROGRAM FILES%\Common Files\symantec shared\*.*
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
    • %PROGRAM FILES%\McAfee.com\Agent\*.*
    • %PROGRAM FILES%\McAfee.com\shared\*.*
    • %PROGRAM FILES%\McAfee.com\VSO\*.*
    • %PROGRAM FILES%\NavNT\*.*
    • %PROGRAM FILES%\Norton AntiVirus\*.*
    • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
    • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
    • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
    • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

    Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • ScanRegistry = "scanregw.exe /scan"

    Die Werte der folgenden Registryschlüssel werden gelöscht:

    – HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • CleanUp
    • SECUR
    • NPROTECT
    • ccApp
    • ScriptBlocking
    • MCUpdateExe
    • VirusScan Online
    • MCAgentExe
    • VSOCheckTask
    • McRegWiz
    • MPFExe
    • MSKAGENTEXE
    • MSKDetectorExe
    • McVsRte
    • PCClient.exe
    • PCCIOMON.exe
    • pccguide.exe
    • Pop3trap.exe
    • PccPfw
    • tmproxy
    • McAfeeVirusScanService
    • NAV Agent
    • PCCClient.exe
    • SSDPSRV
    • rtvscn95
    • defwatch
    • vptray
    • ScanInicio
    • APVXDWIN
    • KAVPersonal50
    • kaspersky
    • TM Outbreak Agent
    • AVG7_Run
    • AVG_CC
    • Avgserv9.exe
    • AVGW
    • AVG7_CC
    • AVG7_EMC
    • Vet Alert
    • VetTray
    • OfficeScanNT Monitor
    • avast!
    • PANDA
    • DownloadAccelerator
    • BearShare

    – HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • CleanUp
    • SECUR
    • NPROTECT
    • ccApp
    • ScriptBlocking
    • MCUpdateExe
    • VirusScan Online
    • MCAgentExe
    • VSOCheckTask
    • McRegWiz
    • MPFExe
    • MSKAGENTEXE
    • MSKDetectorExe
    • McVsRte
    • PCClient.exe
    • PCCIOMON.exe
    • pccguide.exe
    • Pop3trap.exe
    • PccPfw
    • tmproxy
    • McAfeeVirusScanService
    • NAV Agent
    • PCCClient.exe
    • SSDPSRV
    • rtvscn95
    • defwatch
    • vptray
    • ScanInicio
    • APVXDWIN
    • KAVPersonal50
    • kaspersky
    • TM Outbreak Agent
    • AVG7_Run
    • AVG_CC
    • Avgserv9.exe
    • AVGW
    • AVG7_CC
    • AVG7_EMC
    • Vet Alert
    • VetTray
    • OfficeScanNT Monitor
    • avast!
    • PANDA
    • DownloadAccelerator
    • BearShare

    Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
    • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
    • SOFTWARE\Symantec\InstalledApps
    • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
    • SOFTWARE\KasperskyLab\Components\101
    • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
    • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

    Folgende Registryschlüssel werden geändert:

    Verschiedenste Einstellungen des Explorers:
    – HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Neuer Wert:
    • "WebView"=dword:00000000
    • "ShowSuperHidden"=dword:00000000

    Verschiedenste Einstellungen des Explorers:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    CabinetState]
    Neuer Wert:
    • "FullPath" = dword:00000001


    virenticker.de

    [​IMG]
     
    #3
    Pilot gefällt das.
  5. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Mytob.d

    27.11.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Wurm Mytob.d ist wieder per E-Mail unterwegs. Wieder droht der Absender der E-Mail mit der Sperrung des E-Mail-Kontos. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die angebliche Schließung des E-Mail-Kontos, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Email Account Suspension

    Dateianhang: account-report.zip.exe

    Größe des Dateianhangs: 158.208 Bytes.

    E-Mail-Text: Unterschiedlicher Text

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Wird der Wurm ausgeführt, erstellt er folgende Dateien:
    • %SYSDIR%\taskgmrs.exe
    • C:\funny_pic.scr
    • C:\see_this!!.scr
    • C:\my_photo2005.scr
    • C:\hellmsn.exe

    Folgende Einträge in die Registry werden angelegt:
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "WINTASK"="taskgmr.exe"
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    • "WINTASK"="taskgmr.exe"
    – [HKCU\Software\Microsoft\OLE]
    • "WINTASK"="taskgmr.exe"
    – [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
    • "WINTASK"="taskgmr.exe"


    virenticker.de
     
    #4
    Pilot gefällt das.
  6. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Bagle.SZ

    28.11.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Zurzeit ist wieder der Trojaner Bagle.SZ per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner, sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay. Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wird der Anhang aber geöffnet, erscheint keine Rechnung, sondern der Trojaner kapert das System.

    Die E-Mail hat folgendes Aussehen

    Absender: „eBay Kundendienst”

    Betreff: „Ihre eBay.-Gebühren“

    Dateianhang: „eBay-Rechnung.pdf.exe“

    Größe des Dateianhangs: 20.480 Bytes

    E-Mail-Text: Unterschiedlicher Text

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Er benennt folgende Dateien um:

    • SPBBCSvc.exe nach SP1BBCSvc.exe
    • SNDSrvc.exe nach SND1Srvc.exe
    • ccApp.exe nach ccA1pp.exe
    • ccl30.dll nach cc1l30.dll
    • LUALL.EXE nach LUAL1L.EXE
    • AUPDATE.EXE nach AUPD1ATE.EXE
    • Luupdate.exe nach Luup1date.exe
    • RuLaunch.exe nach RuLa1unch.exe
    • CMGrdian.exe nach CM1Grdian.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • outpost.exe nach outp1ost.exe
    • Avconsol.exe nach Avc1onsol.exe
    • Vshwin32.exe nach shw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • kavmm.exe nach kav12mm.exe
    • Up2Date.exe nach Up222Date.exe
    • KAV.exe nach K2A2V.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • zatutor.exe nach zatutor.exe
    • isafe.exe nach zatu6tor.exe
    • av.dll nach is5a6fe.exe
    • vetredir.dll nach c6a5fix.exe
    • CCSETMGR.EXE nach C1CSETMGR.EXE
    • CCEVTMGR.EXE nach CC1EVTMGR.EXE
    • NAVAPSVC.EXE nach NAV1APSVC.EXE
    • NPFMNTOR.EXE nach NPFM1NTOR.EXE
    • symlcsvc.exe nach s1ymlcsvc.exe
    • ccvrtrst.dll nach ccv1rtrst.dll
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • zlclient.exe nach zo3nealarm.exe
    • cafix.exe nach zl5avscan.dll
    • vsvault.dll nach zlcli6ent.exe

    Er erstellt folgende Datei:
    %SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

    Folgende Einträge werden aus der Windows Registry entfernt:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
    APVXDWIN
    KAV50
    avg7_cc
    avg7_emc
    Zone Labs Client
    Symantec NetDriver Monitor
    ccApp
    NAV CfgWiz
    SSC_UserPrompt
    McAfee Guardian
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
    McAfee.InstantUpdate.Monitor
    internat.exe

    Folgende Einträge werden der Windows Registry hinzugefügt:
    [HKCU\Software\FirstRun]
    "FirstRunRR"=dword:00000001

    Folgende Prozesse werden von Bagle beendet:
    AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

    Folgende Services werden von Bagle beendet:
    AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE; CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework; McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService; Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV; PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc; SWEEPSRV.SYS; SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in; XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8; schscnt; sharedaccess; vsmon; wuauserv


    virenticker.de

    [​IMG]
     
    #5
    Pilot gefällt das.
  7. Peppi7
    Offline

    Peppi7 Newbie

    Registriert:
    5. April 2009
    Beiträge:
    17
    Zustimmungen:
    3
    Punkte für Erfolge:
    3
    AW: Aktuelle Virenwarnungen

    Na dann werd ich mal ein waches Auge haben!!!

    DANKE für den Tip.
     
    #6
  8. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Bagle

    30.11.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Ein Trojaner der Bagle-Familie ist wieder unterwegs. Der Trojaner wurde in englischer und deutscher Sprache per E-Mail verschickt. Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung PRICE, die den Trojaner enthält.
    Wenn die Datei geöffnet wird, startet der Windows-Editor Notepad. Anschließend werden verschiedene Dienste gestoppt, Dateien gelöscht und Prozesse beendet. Hauptangriffsziel dabei ist es, Anti-Virenprogramme zu beenden. Abschließend wird dann versucht, eine Datei von verschiedenen Internet-Servern zu laden, die weitere Schad-Programme nachlädt.

    Die E-Mail hat folgendes Aussehen

    Betreff: price_ %aktuelles Datum%

    Anhang: price%aktuelles Datum%.zip.exe

    Größe des Dateianhangs: 40.961 Bytes.

    E-Mail-Text: Unterschiedlicher Text in englischer und deutscher Sprache. Der Body kann auch leer sein.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Wird Bagle ausgeführt, kopiert er sich nach:
    %SystemDIR%\winshost.exe

    Er benennt folgende Dateien um:

    • SPBBCSvc.exe nach SP1BBCSvc.exe
    • SNDSrvc.exe nach SND1Srvc.exe
    • ccApp.exe nach ccA1pp.exe
    • ccl30.dll nach cc1l30.dll
    • LUALL.EXE nach LUAL1L.EXE
    • AUPDATE.EXE nach AUPD1ATE.EXE
    • Luupdate.exe nach Luup1date.exe
    • RuLaunch.exe nach RuLa1unch.exe
    • CMGrdian.exe nach CM1Grdian.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • outpost.exe nach outp1ost.exe
    • Avconsol.exe nach Avc1onsol.exe
    • Vshwin32.exe nach shw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • kavmm.exe nach kav12mm.exe
    • Up2Date.exe nach Up222Date.exe
    • KAV.exe nach K2A2V.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • zatutor.exe nach zatutor.exe
    • isafe.exe nach zatu6tor.exe
    • av.dll nach is5a6fe.exe
    • vetredir.dll nach c6a5fix.exe
    • CCSETMGR.EXE nach C1CSETMGR.EXE
    • CCEVTMGR.EXE nach CC1EVTMGR.EXE
    • NAVAPSVC.EXE nach NAV1APSVC.EXE
    • NPFMNTOR.EXE nach NPFM1NTOR.EXE
    • symlcsvc.exe nach s1ymlcsvc.exe
    • ccvrtrst.dll nach ccv1rtrst.dll
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • zlclient.exe nach zo3nealarm.exe
    • cafix.exe nach zl5avscan.dll
    • vsvault.dll nach zlcli6ent.exe

    Er erstellt folgende Datei:
    %SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

    Folgende Einträge werden aus der Windows Registry entfernt:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
    APVXDWIN
    KAV50
    avg7_cc
    avg7_emc
    Zone Labs Client
    Symantec NetDriver Monitor
    ccApp
    NAV CfgWiz
    SSC_UserPrompt
    McAfee Guardian
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
    McAfee.InstantUpdate.Monitor
    internat.exe

    Folgende Einträge werden der Windows Registry hinzugefügt:
    [HKCU\Software\FirstRun]
    "FirstRunRR"=dword:00000001

    Folgende Prozesse werden von Bagle beendet:
    AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

    Folgende Services werden von Bagle beendet:
    AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE; CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework; McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService; Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV; PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc; SWEEPSRV.SYS; SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in; XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8; schscnt; sharedaccess; vsmon; wuauserv


    virenticker.de

    [​IMG]
     
    #7
    thommynator und Pilot gefällt das.
  9. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Maggot.A

    02.12.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Wurm Maggot.A ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Von: noreply@coca-cola.com

    Betreff: Coca Cola wishes you Merry Christmas!

    Dateianhang: coupon.zip.exe

    Größe des Dateianhangs: 449.024 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\vxworks.exe

    Es wird folgende Datei erstellt und ausgeführt:
    – %SYSDIR%\qnx.exe

    Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Wind River Systems"="c:\windows\\system32\\vxworks.exe

    Folgende Registryschlüssel werden geändert:

    – HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
    FirewallPolicy\StandardProfile\AuthorizedApplications\List
    Neuer Wert:
    • :\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer


    virenticker.de
     
    #8
    Pilot gefällt das.
  10. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Mytob.V

    04.12.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Wurm Mytob.V ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
    Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Error, Status, Server Report, Mail Transaction Failed oder Mail Delivery System.

    Dateianhang: message.pdf.exe

    E-Mail-Text: „Mail transaction failed. Partial message is available”.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\wfdmgr.exe

    Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • \"LSA\"=\"wfdmgr.exe\"

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    • \"LSA\"=\"wfdmgr.exe\"

    – HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • \"LSA\"=\"wfdmgr.exe\"

    Folgende Registryschlüssel werden hinzugefügt:

    – HKCU\Software\Microsoft\OLE
    • \"LSA\"=\"wfdmgr.exe\"

    – HKCU\SYSTEM\CurrentControlSet\Control\Lsa
    • \"LSA\"=\"wfdmgr.exe

    – HKLM\SOFTWARE\Microsoft\Ole
    • \"LSA\"=\"wfdmgr.exe\"

    – HKLM\SYSTEM\CurrentControlSet\Control\Lsa
    • \"LSA\"=\"wfdmgr.exe\"


    virenticker.de
     
    #9
    Pilot gefällt das.
  11. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Mytob.HT

    05.12.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Wurm Mytob.HT ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar eine wichtige Nachricht enthält. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine brisanten Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Important Notification.

    Dateianhang: important-details.pdf.exe

    E-Mail-Text: It has come to our attention that your %s User Profile ( x ) records are out of date. For further details see the attached document.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\ctech.exe

    Eine Datei wird überschreiben.
    – %SYSDIR%\drivers\etc\hosts

    Registry Der folgende Registryschlüssel wird hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten.

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    • "WINDOWS SYSTEM"="ctech.exe"

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "WINDOWS SYSTEM"="ctech.exe"

    Folgender Registryschlüssel wird geändert:

    Deaktiviere Windows XP Firewall:
    – [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
    Neuer Wert:


    virenticker.de

    [​IMG]
     
    #10
    Pilot gefällt das.
  12. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    TR/Dldr.iBill.Z2

    08.12.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    E-Mails verstopfen zurzeit die Postfächer, die angeblich von Single.de stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern ein Trojaner, der das betreffende System infizieren will.

    Die angebliche E-Mail von Singel.de hat folgendes Aussehen:

    Betreff: „Ihr Auftrag bei Singel.de“.

    Dateianhang: „Singel.de_Rechnung_nqan599.rar“

    E-Mail-Text: Unterschiedlicher Text.

    Virus: TR/Dldr.iBill.Z2

    Virustyp: Trojaner

    Dateigröße: 16.896 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\isca.exe

    Es wird folgende Datei erstellt:
    • %SYSDIR%\drivers\wed.tx

    Registry: Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "ShellN"="isca.exe"

    Folgender Registryschlüssel wird hinzugefügt:
    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
    • "wef"=dword:00000037


    virenticker.de

    [​IMG]
     
    #11
    allmi, zwerg14 und Pilot gefällt das.
  13. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Lovgate.A

    09.12.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Wurm Lovgate.A ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Attached one Christmas-Gift for u.

    Der Dateiname des Anhangs: gift.zip.exe

    Größe des Dateianhangs: 219.000 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %SYSDIR%\WinDriver.exe
    • %SYSDIR%\Winexe.exe
    • %SYSDIR%\WinGate.exe
    • %SYSDIR%\RAVMOND.exe
    • %SYSDIR%\IEXPLORE.EXE
    • %TEMPDIR%\%zufällige Buchstabenkombination%
    • c:\SysBoot.EXE
    • %WINDIR%\SYSTRA.EXE
    • %SYSDIR%\WinHelp.exe

    Es werden folgende Dateien erstellt:
    – c:\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
    • [AUTORUN]
    Open="C:\SysBoot.EXE" /StartExplorer
    – %SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

    Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
    – [HKLM\software\microsoft\windows\currentversion\run\]
    • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
    • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
    • "WinHelp"="%SYSDIR%\WinHelp.exe"
    • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
    – [HKLM\software\microsoft\windows\currentversion\runservices\]
    • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"

    Folgender Registryschlüssel wird hinzugefügt:
    – [HKCU\software\microsoft\windows nt\currentversion\windows\]
    • "DebugOptions"="2048"
    • "Documents"=""
    • "DosPrint"="no"
    • "load"=""
    • "NetMessage"="no"
    • "NullPort"="None"
    • "Programs"="com exe bat pif cmd"
    • "run"="RAVMOND.exe"

    Folgender Registryschlüssel wird geändert:
    – [HKCR\exefile\shell\open\command]
    Alter Wert:
    • @="\"%1\" %*"
    Neuer Wert:
    • @="%SYSDIR%\winexe.exe \"%1\" %*"


    virenticker.de

    [​IMG]
     
    #12
    zwerg14 und Pilot gefällt das.
  14. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    VB.EX4

    11.12.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Wurm VB.EX4 ist zurzeit per E-Mail unterwegs und lockt mit einer Nachricht im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen über ein Schreiben angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen


    Betreff: hello

    Dateianhang: thisfile %siebenstellige zufällige Buchstabenkombination%.

    Größe des Dateianhangs: 133.632 Bytes

    E-Mail-Text: „please read again what i have written to you”.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    • "%zufällige Buchstabenkombination%"="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "%zufällige Buchstabenkombination%"="%WINDIR%\%zufällige Buchstabenkombination%.exe"

    Die Werte der folgenden Registryschlüssel werden gelöscht:

    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    • "avgnt"
    • "drv_st_key"
    • "norman_zanda"
    • "MSMSG"
    • "Winamp"
    • "Word"
    • "Driver"
    • "WinUpdateSupervisor"
    • "Task"
    • "dago"
    • "SMA_nya_Artika"
    • "Putri_Indonesia"
    • "BabelPath"
    • "Alumni Smansa"
    • "ViriSetup"
    • "SMAN1_Pangkalpinang"
    • "Putri_Bangka"
    • "SysYuni"
    • "SysDiaz"
    • "SysRia"
    • "Pluto"
    • "DllHost"
    • "SaTRio ADie X"
    • "Tok-Cirrhatus"
    • "AllMyBallance"
    • "MomentEverComes"
    • "TryingToSpeak"
    • "YourUnintended"
    • "YourUnintendes"
    • "lexplorer"
    • "dkernel"
    • "Bron-Spizaetus"
    • "ADie suka kamu"
    • "winfix"
    • "templog"
    • "service"
    • "Grogotix"

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • "avgnt"
    • "drv_st_key"
    • "norman_zanda"
    • "MSMSG"
    • "Winamp"
    • "Word"
    • "Driver"
    • "WinUpdateSupervisor"
    • "Task"
    • "dago"
    • "SMA_nya_Artika"
    • "Putri_Indonesia"
    • "BabelPath"
    • "Alumni Smansa"
    • "ViriSetup"
    • "SMAN1_Pangkalpinang"
    • "Putri_Bangka"
    • "SysYuni"
    • "SysDiaz"
    • "SysRia"
    • "Pluto"
    • "DllHost"
    • "SaTRio ADie X"
    • "Tok-Cirrhatus"
    • "AllMyBallance"
    • "MomentEverComes"
    • "TryingToSpeak"
    • "YourUnintended"
    • "YourUnintendes"
    • "lexplorer"
    • "dkernel"
    • "Bron-Spizaetus"
    • "ADie suka kamu"
    • "winfix"
    • "templog"
    • "service"
    • "Grogotix"

    Folgende Registryschlüssel werden geändert:

    – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Alter Wert:
    • "Shell"="Explorer.exe"
    Neuer Wert:
    • "Shell"="explorer.exe, "%WINDIR%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe""

    – [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    Alter Wert:
    • "load"=""
    Neuer Wert:
    • "load"=""%WINDIR%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.com""

    Verschiedenste Einstellungen des Explorers:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    Alter Wert:
    • "Hidden"=%Einstellungen des Benutzers%
    • "HideFileExt"=%Einstellungen des Benutzers%
    • "ShowSuperHidden"=%Einstellungen des Benutzers%
    Neuer Wert:
    • "Hidden"=dword:00000000
    • "HideFileExt"=dword:00000001
    • "ShowSuperHidden"=dword:00000000

    – [HKCR\scrfile]
    Alter Wert:
    • @="Screen Saver"
    Neuer Wert:
    • @="File Folder"

    – [HKCR\exefile]
    Alter Wert:
    • @="Application"
    Neuer Wert:
    • @="File Folder"

    – [HKLM\SOFTWARE\Classes\exefile]
    Alter Wert:
    • @="Application"
    Neuer Wert:
    • @="File Folder"

    Deaktiviere Windows XP Firewall:
    – [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
    Alter Wert:
    • "Start"=%Einstellungen des Benutzers%
    Neuer Wert:
    • "Start"=dword:00000000

    Verschiedenste Einstellungen des Explorers:

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    Folder\SuperHidden]
    Alter Wert:
    • "UncheckedValue"=%Einstellungen des Benutzers%
    Neuer Wert:
    • "UncheckedValue"=dword:00000000

    – [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
    Alter Wert:
    • "DisableConfig"=%Einstellungen des Benutzers%
    • "DisableSR"=%Einstellungen des Benutzers%
    Neuer Wert:
    • "DisableConfig"=dword:00000001
    • "DisableSR"=dword:00000001

    – [HKLM\SYSTEM\ControlSet001\Control\SafeBoot]
    Alter Wert:
    • "AlternateShell"="cmd.exe"
    Neuer Wert:
    • "AlternateShell"="%zufällige Buchstabenkombination%.exe"

    – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Image File Execution Options\msconfig.exe]
    Neuer Wert:
    • "debugger"="%WINDIR%\notepad.exe"

    – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Image File Execution Options\regedit.exe]
    Neuer Wert:
    • "debugger"="%WINDIR%\%zufällige Buchstabenkombination%\regedit.cmd"

    – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Image File Execution Options\rstrui.exe]
    Neuer Wert:
    • "debugger"="%WINDIR%\notepad.exe"

    Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut.

    Es wird versucht folgende Information zu klauen:

    – Nachdem Tastaturanschläge welche mit einer der folgenden Zeichenketten übereinstimmen gedrückt wurden wird eine Protokollfunktion gestartet:
    • Friendster
    • yahoo
    • gmail
    • login
    • bank
    • hotmail

    Aufgezeichnet wird:
    • Tastaturanschläge


    virenticker.de

    [​IMG]
     
    #13
    zwerg14 und Pilot gefällt das.
  15. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    Zpack.cr

    13.12.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Der Trojaner Zpack.cr ist per E-Mail unterwegs und behauptet im Anhang eine weihnachtliche Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Grüße zum Weihnachtsfest. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Merry Christmas

    E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %home%\Application Data\hidn\hldrrr.exe
    • %home%\Application Data\hidn\hidn.exe

    Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
    • c:\temp.zip

    Es wird folgende Datei erstellt:
    – c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
    • Text decoding error.

    Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
    – [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • drv_st_key = %home%\Application Data\hidn\hidn2.exe

    Alle Werte des folgenden Registryschlüssel werden gelöscht:
    • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

    Folgender Registryschlüssel wird hinzugefügt:
    – [HKCU\Software\FirstRun]
    • FirstRun = 1

    Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
    – [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
    Alter Wert:
    • Start = %Einstellungen des Benutzers%
    Neuer Wert:
    • Start = 4


    virenticker.de
     
    #14
    zwerg14 und Pilot gefällt das.
  16. akuta
    Offline

    akuta Ist gelegentlich hier

    Registriert:
    31. März 2009
    Beiträge:
    82
    Zustimmungen:
    87
    Punkte für Erfolge:
    0
    AW: Aktuelle Virenwarnungen

    NetSky.P2

    15.12.2009

    Verbreitung: [​IMG]
    Schaden: [​IMG]


    Zurzeit sind verstärkt E-Mails unterwegs, die beteuern, der Empfänger habe illegale Internetseiten besucht. Eine Liste der Internetseiten befindet sind im Anhang. In dem Anhang steckt natürlich keine Liste illegaler Internetseiten, sondern ein Wurm, der das betreffende System infizieren will.

    Die E-Mail hat folgendes Aussehen

    Betreff: „Internet Provider Abuse“.

    Dateianhang: „details.pdf.exe“

    E-Mail-Text: „I noticed that you have visited illegal websites. See the name in the list!“

    Virus: NetSky.P2

    Virustyp: Wurm

    Dateigröße: 50.688 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System:

    Eine Kopie seiner selbst wird hier erzeugt:
    • %WINDIR%\fvprotect.exe

    Es werden folgende Dateien erstellt:
    – Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
    – • %WINDIR%\zipped.tmp – MIME enkodierte Kopie seiner selbst:
    – • %WINDIR%\zip1.tmp
    – • %WINDIR%\zip2.tmp
    – • %WINDIR%\zip3.tmp
    – • %WINDIR%\base64.tmp
    – – %WINDIR%\userconfig9x.dll

    Folgender Registryschlüssel wird hinzugefügt:
    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • „Norton Antivirus AV"="%WINDIR%\FVProtect.exe”


    virenticker.de

    [​IMG]
     
    #15
    zwerg14 und Pilot gefällt das.

Diese Seite empfehlen