1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Trojaner Bagle.CS

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 2. Januar 2009.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Momentan gehen wieder Neujahrsgrüße via E-Mail um. Aber Vorsicht: Deren Anhang ist brandgefährlich! Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Neujahrsgrüße. Stattdessen installiert sich der Trojaner Bagle.CS auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: „Happy New Year”.

    Dateianhang: HappyNewYear.txt.exe.

    E-Mail-Text: „picture and wishes 2009”.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird der Trojaner ausgeführt, kopiert er sich nach: %SystemDIR%\winshost.exe

    Er benennt folgende Dateien um:
    • SPBBCSvc.exe nach SP1BBCSvc.exe
    • SNDSrvc.exe nach SND1Srvc.exe
    • ccApp.exe nach ccA1pp.exe
    • ccl30.dll nach cc1l30.dll
    • LUALL.EXE nach LUAL1L.EXE
    • AUPDATE.EXE nach AUPD1ATE.EXE
    • Luupdate.exe nach Luup1date.exe
    • RuLaunch.exe nach RuLa1unch.exe
    • CMGrdian.exe nach CM1Grdian.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • outpost.exe nach outp1ost.exe
    • Avconsol.exe nach Avc1onsol.exe
    • Vshwin32.exe nach shw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • kavmm.exe nach kav12mm.exe
    • Up2Date.exe nach Up222Date.exe
    • KAV.exe nach K2A2V.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • zatutor.exe nach zatutor.exe
    • isafe.exe nach zatu6tor.exe
    • av.dll nach is5a6fe.exe
    • vetredir.dll nach c6a5fix.exe
    • CCSETMGR.EXE nach C1CSETMGR.EXE
    • CCEVTMGR.EXE nach CC1EVTMGR.EXE
    • NAVAPSVC.EXE nach NAV1APSVC.EXE
    • NPFMNTOR.EXE nach NPFM1NTOR.EXE
    • symlcsvc.exe nach s1ymlcsvc.exe
    • ccvrtrst.dll nach ccv1rtrst.dll
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • zlclient.exe nach zo3nealarm.exe
    • cafix.exe nach zl5avscan.dll
    • vsvault.dll nach zlcli6ent.exe

    Er erstellt folgende Datei:
    • %SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

    Folgende Einträge werden aus der Registry entfernt:
    • [HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]

    Folgende Einträge werden der Registry hinzugefügt:
    • [HKCU\Software\FirstRun]
    • „FirstRunRR”=dword:00000001

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen