1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Trojanische Pferd Traxgy.C

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von Beastmaster, 7. April 2009.

  1. Beastmaster
    Offline

    Beastmaster Moderator Digital Eliteboard Team

    Registriert:
    9. Oktober 2008
    Beiträge:
    3.617
    Zustimmungen:
    12.203
    Punkte für Erfolge:
    113
    Zurzeit ist wieder das Trojanische Pferd Traxgy.C per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner, sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay.
    Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wenn man den Anhang aber öffnet, erscheint keine Rechnung, sondern der Trojaner kapert das System.

    Die E-Mail hat folgendes Aussehen

    Absender: „eBay Collections”, „eBay Finance”, „eBay Kundensupport”.

    Betreff: „Ihre eBay.de Gebuehren“.

    Dateianhang: „eBay-Rechnung.pdf.exe“ und ein PDF-Symbol.

    Größe des Dateianhangs: 20.480 Bytes.

    E-Mail-Text: Unterschiedlicher Text.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
    • A:\Explorer.EXE
    • A:\WINDOWS.EXE
    • %Laufwerk%:\WINDOWS.EXE
    • %Laufwerk%:\ghost.bat
    • %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

    Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
    – An: %WINDIR%\\system\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\help\ Mit einem der folgenden Namen:
    • \%Hexadezimale Zahl%.com

    Es werden folgende Dateien erstellt:

    – Nicht virulente Datei:
    • %alle Verzeichnisse%\desktop.ini

    – A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    – %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    – %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

    Der Wert des folgenden Registry-Schlüssel wird gelöscht:

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • KaV300XP

    Folgende Registry-Schlüssel werden geändert:

    Verschiedenste Einstellungen des Explorers:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
    CabinetState]
    Alter Wert:
    • fullpath = %Einstellungen des Benutzers%
    Neuer Wert:
    • fullpath = dword:00000001

    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
    Alter Wert:
    • HideFileExt = %Einstellungen des Benutzers%
    • Hidden = %Einstellungen des Benutzers%
    Neuer Wert:
    • HideFileExt = dword:00000001
    • Hidden = dword:00000000

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen