1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Trojaner Bagle.DR3

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 22. Dezember 2008.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Der Trojaner Bagle.DR3 wird per E-Mail über diverse Spamlisten in Umlauf gebracht und hat sich schon relativ stark verbreitet. Wird die im Anhang der E-Mail befindliche ZIP-Datei entpackt und ausgeführt, kopiert sich der Trojaner ins Systemverzeichnis.
    Der Trojaner Bagle.DR3 ist ein Downloader, der mit dem Explorer-Task gestartet wird. Die DLL-Datei versucht dann Dateien von verschiedenen Internetseiten auf Ihren PC nachzuladen. Darüber hinaus nimmt Bagle.DR2 eigenständig Einträge in der Windows-Registry vor.

    Die E-Mail hat folgendes Aussehen

    Betreff: Unterschiedlicher Text

    Dateianhang: Health_and_knowledge.zip

    E-Mail-Text: Kein Text

    Dateigröße: 9.675 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\lphc1boj0e39c.exe

    Es werden folgende Dateien erstellt:

    – %SYSDIR%\phc1boj0e39c.bmp

    – %SYSDIR%\blphc1boj0e39c.scr Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

    – C:\Documents and Settings\makrorechner\Local Settings\Temp\.tt1.tmp.vbs Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

    Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • lphc1boj0e39c="%SYSDIR%\lphc1boj0e39c.exe"

    Folgende Registryschlüssel werden hinzugefügt:

    – [HKLM\SOFTWARE\Microsoft\Software Notifier]
    • InstallationID="3503dd7f-a0fc-4a9b-9fb3-3256a6dc78ce"

    – [HKCU\Software\Sysinternals\Bluescreen Screen Saver]
    • EulaAccepted=dword:00000001

    Folgende Registryschlüssel werden geändert:

    Verschiedenste Einstellungen des Explorers:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    Neuer Wert:
    • NoDispBackgroundPage=dword:00000001
    • NoDispScrSavPage=dword:00000001

    – [HKCU\Control Panel\Colors]
    Neuer Wert:
    • Background="0 0 255"

    – [HKCU\Control Panel\Desktop]
    Neuer Wert:
    • WallpaperStyle="0"
    TileWallpaper="0"
    Wallpaper="%SYSDIR%\phc1boj0e39c.bmp"
    OriginalWallpaper="%SYSDIR%\phc1boj0e39c.bmp"
    SCRNSAVE.EXE="%SYSDIR%\blphc1boj0e39c.scr"
    ScreenSaveActive="1"
    ScreenSaveTimeOut="600"

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen