1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Wurm Tearec.AZD

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 8. März 2009.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Der Wurm Tearec.AZD ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: You Must View This Videoclip!

    Der Dateiname des Anhangs: New Video,zip

    Größe des Dateianhangs: 94.154 Bytes

    E-Mail-Text: hello, i send the file. bye

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %WINDIR%\Rundll16.exe
    • %SYSDIR%\scanregw.exe
    • C:\WINZIP_TMP.exe
    • %SYSDIR%\Update.exe
    • %SYSDIR%\Winzip.exe
    • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

    Folgende Dateien werden überschreiben.
    Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

    – %alle Verzeichnisse%

    Dateiendungen:
    • .HTM
    • .DBX
    • .EML
    • .MSG
    • .OFT
    • .NWS
    • .VCF
    • .MBX

    Mit folgendem Inhalt:
    • DATA Error [47 0F 94 93 F4 K5]

    Folgende Dateien werden gelöscht:
    • %PROGRAM FILES%\DAP\*.dll
    • %PROGRAM FILES%\BearShare\*.dll
    • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
    • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
    • %PROGRAM FILES%\Norton AntiVirus\*.exe
    • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
    • %PROGRAM FILES%\McAfee.com\VSO\*.exe
    • %PROGRAM FILES%\McAfee.com\Agent\*.*
    • %PROGRAM FILES%\McAfee.com\shared\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
    • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
    • %PROGRAM FILES%\NavNT\*.exe
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
    • %PROGRAM FILES%\Grisoft\AVG7\*.dll
    • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
    • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
    • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
    • %PROGRAM FILES%\Morpheus\*.dll
    • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
    • %PROGRAM FILES%\Common Files\symantec shared\*.*
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
    • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
    • %PROGRAM FILES%\McAfee.com\Agent\*.*
    • %PROGRAM FILES%\McAfee.com\shared\*.*
    • %PROGRAM FILES%\McAfee.com\VSO\*.*
    • %PROGRAM FILES%\NavNT\*.*
    • %PROGRAM FILES%\Norton AntiVirus\*.*
    • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
    • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
    • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
    • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
    • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

    Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • ScanRegistry = "scanregw.exe /scan"

    Die Werte der folgenden Registryschlüssel werden gelöscht:

    – HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • CleanUp
    • SECUR
    • NPROTECT
    • ccApp
    • ScriptBlocking
    • MCUpdateExe
    • VirusScan Online
    • MCAgentExe
    • VSOCheckTask
    • McRegWiz
    • MPFExe
    • MSKAGENTEXE
    • MSKDetectorExe
    • McVsRte
    • PCClient.exe
    • PCCIOMON.exe
    • pccguide.exe
    • Pop3trap.exe
    • PccPfw
    • tmproxy
    • McAfeeVirusScanService
    • NAV Agent
    • PCCClient.exe
    • SSDPSRV
    • rtvscn95
    • defwatch
    • vptray
    • ScanInicio
    • APVXDWIN
    • KAVPersonal50
    • kaspersky
    • TM Outbreak Agent
    • AVG7_Run
    • AVG_CC
    • Avgserv9.exe
    • AVGW
    • AVG7_CC
    • AVG7_EMC
    • Vet Alert
    • VetTray
    • OfficeScanNT Monitor
    • avast!
    • PANDA
    • DownloadAccelerator
    • BearShare

    – HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • CleanUp
    • SECUR
    • NPROTECT
    • ccApp
    • ScriptBlocking
    • MCUpdateExe
    • VirusScan Online
    • MCAgentExe
    • VSOCheckTask
    • McRegWiz
    • MPFExe
    • MSKAGENTEXE
    • MSKDetectorExe
    • McVsRte
    • PCClient.exe
    • PCCIOMON.exe
    • pccguide.exe
    • Pop3trap.exe
    • PccPfw
    • tmproxy
    • McAfeeVirusScanService
    • NAV Agent
    • PCCClient.exe
    • SSDPSRV
    • rtvscn95
    • defwatch
    • vptray
    • ScanInicio
    • APVXDWIN
    • KAVPersonal50
    • kaspersky
    • TM Outbreak Agent
    • AVG7_Run
    • AVG_CC
    • Avgserv9.exe
    • AVGW
    • AVG7_CC
    • AVG7_EMC
    • Vet Alert
    • VetTray
    • OfficeScanNT Monitor
    • avast!
    • PANDA
    • DownloadAccelerator
    • BearShare

    Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
    • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
    • SOFTWARE\Symantec\InstalledApps
    • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
    • SOFTWARE\KasperskyLab\Components\101
    • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
    • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

    Folgende Registryschlüssel werden geändert:

    Verschiedenste Einstellungen des Explorers:
    – HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Neuer Wert:
    • "WebView"=dword:00000000
    • "ShowSuperHidden"=dword:00000000

    Verschiedenste Einstellungen des Explorers:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    CabinetState]
    Neuer Wert:
    • "FullPath" = dword:00000001

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1
    letscho und datamen gefällt das.

Diese Seite empfehlen