Trojaner Bagle.CS

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 2. Januar 2009.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    839
    Zustimmungen:
    90
    Punkte für Erfolge:
    28
    Momentan gehen wieder Neujahrsgrüße via E-Mail um. Aber Vorsicht: Deren Anhang ist brandgefährlich! Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Neujahrsgrüße. Stattdessen installiert sich der Trojaner Bagle.CS auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: „Happy New Year”.

    Dateianhang: HappyNewYear.txt.exe.

    E-Mail-Text: „picture and wishes 2009”.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird der Trojaner ausgeführt, kopiert er sich nach: %SystemDIR%\winshost.exe

    Er benennt folgende Dateien um:
    • SPBBCSvc.exe nach SP1BBCSvc.exe
    • SNDSrvc.exe nach SND1Srvc.exe
    • ccApp.exe nach ccA1pp.exe
    • ccl30.dll nach cc1l30.dll
    • LUALL.EXE nach LUAL1L.EXE
    • AUPDATE.EXE nach AUPD1ATE.EXE
    • Luupdate.exe nach Luup1date.exe
    • RuLaunch.exe nach RuLa1unch.exe
    • CMGrdian.exe nach CM1Grdian.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • outpost.exe nach outp1ost.exe
    • Avconsol.exe nach Avc1onsol.exe
    • Vshwin32.exe nach shw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • kavmm.exe nach kav12mm.exe
    • Up2Date.exe nach Up222Date.exe
    • KAV.exe nach K2A2V.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • zatutor.exe nach zatutor.exe
    • isafe.exe nach zatu6tor.exe
    • av.dll nach is5a6fe.exe
    • vetredir.dll nach c6a5fix.exe
    • CCSETMGR.EXE nach C1CSETMGR.EXE
    • CCEVTMGR.EXE nach CC1EVTMGR.EXE
    • NAVAPSVC.EXE nach NAV1APSVC.EXE
    • NPFMNTOR.EXE nach NPFM1NTOR.EXE
    • symlcsvc.exe nach s1ymlcsvc.exe
    • ccvrtrst.dll nach ccv1rtrst.dll
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • zlclient.exe nach zo3nealarm.exe
    • cafix.exe nach zl5avscan.dll
    • vsvault.dll nach zlcli6ent.exe

    Er erstellt folgende Datei:
    • %SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

    Folgende Einträge werden aus der Registry entfernt:
    • [HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]

    Folgende Einträge werden der Registry hinzugefügt:
    • [HKCU\Software\FirstRun]
    • „FirstRunRR”=dword:00000001

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.