Trojanische Pferd Traxgy.C

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von Beastmaster, 7. April 2009.

  1. Beastmaster
    Offline

    Beastmaster Moderator Digital Eliteboard Team

    Registriert:
    9. Oktober 2008
    Beiträge:
    3.617
    Zustimmungen:
    12.204
    Punkte für Erfolge:
    113
    Zurzeit ist wieder das Trojanische Pferd Traxgy.C per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner, sich auf dem betreffenden System zu installieren. Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay.
    Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wenn man den Anhang aber öffnet, erscheint keine Rechnung, sondern der Trojaner kapert das System.

    Die E-Mail hat folgendes Aussehen

    Absender: „eBay Collections”, „eBay Finance”, „eBay Kundensupport”.

    Betreff: „Ihre eBay.de Gebuehren“.

    Dateianhang: „eBay-Rechnung.pdf.exe“ und ein PDF-Symbol.

    Größe des Dateianhangs: 20.480 Bytes.

    E-Mail-Text: Unterschiedlicher Text.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
    • A:\Explorer.EXE
    • A:\WINDOWS.EXE
    • %Laufwerk%:\WINDOWS.EXE
    • %Laufwerk%:\ghost.bat
    • %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

    Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
    – An: %WINDIR%\\system\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
    • %Hexadezimale Zahl%.com

    – An: %WINDIR%\help\ Mit einem der folgenden Namen:
    • \%Hexadezimale Zahl%.com

    Es werden folgende Dateien erstellt:

    – Nicht virulente Datei:
    • %alle Verzeichnisse%\desktop.ini

    – A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    – %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    – %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

    Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
    • TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

    Der Wert des folgenden Registry-Schlüssel wird gelöscht:

    – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • KaV300XP

    Folgende Registry-Schlüssel werden geändert:

    Verschiedenste Einstellungen des Explorers:
    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\
    CabinetState]
    Alter Wert:
    • fullpath = %Einstellungen des Benutzers%
    Neuer Wert:
    • fullpath = dword:00000001

    – [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
    Alter Wert:
    • HideFileExt = %Einstellungen des Benutzers%
    • Hidden = %Einstellungen des Benutzers%
    Neuer Wert:
    • HideFileExt = dword:00000001
    • Hidden = dword:00000000

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.