1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Trojaner ZBot.R5

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 4. Dezember 2008.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Der Trojaner ZBot.R5 ist per E-Mail unterwegs. Der Absender der E-Mail droht mit der Einleitung der Zwangsvollstreckung durch einen Mahnbescheid, weil die angebliche Lastschrift im Anhang nicht bezahlt wurde. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die offene Rechnung, stattdessen installiert sich der Trojaner auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Lastschrift

    Dateianhang: Lastschrift.txt.exe oder Rechnung.txt.exe

    Größe des Dateianhangs: unterschiedlich.

    E-Mail-Text: unterschiedlich.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\ntos.exe

    Folgende Datei wird gelöscht:
    • %cookies%\*.*

    Es werden folgende Dateien erstellt:

    – Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
    • %SYSDIR%\wsnpoem\audio.dll
    • %SYSDIR%\wsnpoem\video.dll

    Folgende Registryschlüssel werden geändert:

    – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Alter Wert:
    • Userinit = %SYSDIR%\userinit.exe,
    Neuer Wert:
    • Userinit = %SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,

    – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
    Neuer Wert:
    • UID = %Name des Computers%_%Hexadezimale Zahl%

    Die folgenden Ports werden geöffnet:

    – svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
    – svchost.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
    – svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang
     
    #1

Diese Seite empfehlen