1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Wurm Lovgate.W

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 9. März 2009.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Der Wurm Lovgate.W ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Attached one Gift for u.

    Der Dateiname des Anhangs: enjoy.exe

    Größe des Dateianhangs: 179.200 Bytes

    E-Mail-Text: Send me your comments.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %SYSDIR%\WinDriver.exe
    • %SYSDIR%\Winexe.exe
    • %SYSDIR%\WinGate.exe
    • %SYSDIR%\RAVMOND.exe
    • %SYSDIR%\IEXPLORE.EXE
    • %TEMPDIR%\%zufällige Buchstabenkombination%
    • c:\SysBoot.EXE
    • %WINDIR%\SYSTRA.EXE
    • %SYSDIR%\WinHelp.exe

    Es werden folgende Dateien erstellt:
    – c:\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
    • [AUTORUN]
    Open="C:\SysBoot.EXE" /StartExplorer
    – %SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
    – %SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

    Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
    – [HKLM\software\microsoft\windows\currentversion\run\]
    • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
    • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
    • "WinHelp"="%SYSDIR%\WinHelp.exe"
    • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
    – [HKLM\software\microsoft\windows\currentversion\runservices\]
    • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"

    Folgender Registryschlüssel wird hinzugefügt:
    – [HKCU\software\microsoft\windows nt\currentversion\windows\]
    • "DebugOptions"="2048"
    • "Documents"=""
    • "DosPrint"="no"
    • "load"=""
    • "NetMessage"="no"
    • "NullPort"="None"
    • "Programs"="com exe bat pif cmd"
    • "run"="RAVMOND.exe"

    Folgender Registryschlüssel wird geändert:
    – [HKCR\exefile\shell\open\command]
    Alter Wert:
    • @="\"%1\" %*"
    Neuer Wert:
    • @="%SYSDIR%\winexe.exe \"%1\" %*"

    Quelle:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen