Wurm Klez.E2

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 16. Oktober 2008.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    839
    Zustimmungen:
    90
    Punkte für Erfolge:
    28
    Zurzeit werden wieder E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich kein Abbuchungsauftrag, sondern der heimtückische Wurm Klez.E2, der das betreffende System infizieren will.
    Die E-Mail hat folgendes Aussehen
    Betreff: Vertrag
    Dateianhang: Rechnung.rar
    Größe des Dateianhangs: 65 KByte.
    E-Mail-Text:
    „Sehr geehrte Kundin, sehr geehrte Kunde,
    Ihr Abbuchungsauftrag wurde erfüllt.
    Sie finden die Details zu der Rechnung im Anhang.“
    Betroffene Betriebssysteme: Alle Windows-Versionen.
    Installation auf dem System
    Kopien seiner selbst werden hier erzeugt:
    • %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
    • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
    Es werden folgende Dateien erstellt:
    – Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
    • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe
    – %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C
    Folgende Dateien werden gelöscht:
    • ANTI-VIR.DAT
    • CHKLIST.DAT
    • CHKLIST.MS
    • CHKLIST.CPS
    • CHKLIST.TAV
    • IVB.NTZ
    • SMARTCHK.MS
    • SMARTCHK.CPS
    • AVGQT.DAT
    • AGUARD.DAT
    • Shlwapi.dll
    • Kernel32.dll
    • netapi32.dll
    • sfc.dll
    Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.
    – [HKLM\SYSTEM\CurrentControlSet\Services\
    Wink%dreistellige zufällige Buchstabenkombination%]
    • Type = 110
    • Start = 2
    • ErrorControl = 0
    • ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
    • DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
    • "ObjectName"="LocalSystem"
    – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
    • Security = %hex values
    – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
    • 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
    • Count = 1
    • NextInstance = 1
    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.