1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Wurm Klez.E2

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 16. Oktober 2008.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Zurzeit werden wieder E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich kein Abbuchungsauftrag, sondern der heimtückische Wurm Klez.E2, der das betreffende System infizieren will.
    Die E-Mail hat folgendes Aussehen
    Betreff: Vertrag
    Dateianhang: Rechnung.rar
    Größe des Dateianhangs: 65 KByte.
    E-Mail-Text:
    „Sehr geehrte Kundin, sehr geehrte Kunde,
    Ihr Abbuchungsauftrag wurde erfüllt.
    Sie finden die Details zu der Rechnung im Anhang.“
    Betroffene Betriebssysteme: Alle Windows-Versionen.
    Installation auf dem System
    Kopien seiner selbst werden hier erzeugt:
    • %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
    • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
    Es werden folgende Dateien erstellt:
    – Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
    • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
    – %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C
    Folgende Dateien werden gelöscht:
    • ANTI-VIR.DAT
    • CHKLIST.DAT
    • CHKLIST.MS
    • CHKLIST.CPS
    • CHKLIST.TAV
    • IVB.NTZ
    • SMARTCHK.MS
    • SMARTCHK.CPS
    • AVGQT.DAT
    • AGUARD.DAT
    • Shlwapi.dll
    • Kernel32.dll
    • netapi32.dll
    • sfc.dll
    Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.
    – [HKLM\SYSTEM\CurrentControlSet\Services\
    Wink%dreistellige zufällige Buchstabenkombination%]
    • Type = 110
    • Start = 2
    • ErrorControl = 0
    • ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
    • DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
    • "ObjectName"="LocalSystem"
    – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
    • Security = %hex values
    – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
    • 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
    • Count = 1
    • NextInstance = 1
    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen