1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Trojaner TCOM.Bill2

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 21. Oktober 2008.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Der Trojaner TCOM.Bill2 ist per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: You have received an eCard

    E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

    Adresse des Absenders*: xiaody@vanke.com
    * Bitte beachten Sie, dass die Absender-Adresse häufig gefälscht ist, es sich also meist nicht um den Urheber der schadhaften E-Mail handelt.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

    %SystemDIR%ipwf.exe

    und erstellt folgende Datei:

    %SystemDIR%driverswinut.dat

    Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

    Folgende Einträge in der Windows Registry werden angelegt:

    HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices

    SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]

    "SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enabled:i pwf

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]

    "IPFW"=SystemDIRipwf.exe

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen