Information ausblenden
Das Digital Eliteboard ist ein Kostenloses Forum. Wenn du alle Bereiche sehen möchtest oder Fragen hast, musst du dich zunächst Registrieren.

Jetzt Registrieren

Wurm Klez.E2

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 16. Oktober 2008.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    839
    Zustimmungen:
    90
    Punkte für Erfolge:
    28
    Zurzeit werden wieder E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich kein Abbuchungsauftrag, sondern der heimtückische Wurm Klez.E2, der das betreffende System infizieren will.
    Die E-Mail hat folgendes Aussehen
    Betreff: Vertrag
    Dateianhang: Rechnung.rar
    Größe des Dateianhangs: 65 KByte.
    E-Mail-Text:
    „Sehr geehrte Kundin, sehr geehrte Kunde,
    Ihr Abbuchungsauftrag wurde erfüllt.
    Sie finden die Details zu der Rechnung im Anhang.“
    Betroffene Betriebssysteme: Alle Windows-Versionen.
    Installation auf dem System
    Kopien seiner selbst werden hier erzeugt:
    • %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
    • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
    Es werden folgende Dateien erstellt:
    – Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
    • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
    – %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C
    Folgende Dateien werden gelöscht:
    • ANTI-VIR.DAT
    • CHKLIST.DAT
    • CHKLIST.MS
    • CHKLIST.CPS
    • CHKLIST.TAV
    • IVB.NTZ
    • SMARTCHK.MS
    • SMARTCHK.CPS
    • AVGQT.DAT
    • AGUARD.DAT
    • Shlwapi.dll
    • Kernel32.dll
    • netapi32.dll
    • sfc.dll
    Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.
    – [HKLM\SYSTEM\CurrentControlSet\Services\
    Wink%dreistellige zufällige Buchstabenkombination%]
    • Type = 110
    • Start = 2
    • ErrorControl = 0
    • ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
    • DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
    • "ObjectName"="LocalSystem"
    – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
    • Security = %hex values
    – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
    • 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
    • Count = 1
    • NextInstance = 1
    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Direkt Antworten

Überprüfung:
Der Entwurf wurde gespeichert Der Entwurf wurde gelöscht

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.