1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Wurm Ntech4

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von Beastmaster, 10. April 2009.

  1. Beastmaster
    Offline

    Beastmaster Moderator Digital Eliteboard Team

    Registriert:
    9. Oktober 2008
    Beiträge:
    3.617
    Zustimmungen:
    12.203
    Punkte für Erfolge:
    113
    Der Wurm Ntech4 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im
    Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Hot game. You ask me about this game, Here is it.

    Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

    Größe des Dateianhangs: 20.992 Bytes.

    E-Mail-Text: Amusing game... In your attachemnt.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
    – %SYSDIR%\driver\secdrv.sys

    – %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

    – %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C

    – %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

    Es wird versucht folgende Datei auszuführen:
    • %SYSDIR%\driver\runtime2.sys
    Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

    Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • startdrv"="%WINDIR%\Temp\startdrv.exe"

    Folgende Registryschlüssel werden hinzugefügt:

    – HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
    ActiveService
    • Secdrv

    – HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
    ActiveService
    • runtime

    – HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
    ActiveService
    • runtime2

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
    Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen