Wurm Klez.E3

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 20. November 2008.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    839
    Zustimmungen:
    90
    Punkte für Erfolge:
    28
    Zurzeit werden wieder E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich kein Abbuchungsauftrag, sondern der heimtückische Wurm Klez.E3, der das betreffende System infizieren will.

    Die E-Mail hat folgendes Aussehen

    Betreff: Vertrag

    Dateianhang: Rechnung.rar

    Größe des Dateianhangs: 65 KByte.

    E-Mail-Text:
    „Sehr geehrte Kundin, sehr geehrte Kunde,
    Ihr Abbuchungsauftrag wurde erfüllt.
    Sie finden die Details zu der Rechnung im Anhang.“

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Kopien seiner selbst werden hier erzeugt:
    • %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
    • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

    Es werden folgende Dateien erstellt:

    – Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
    • %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

    – %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C

    Folgende Dateien werden gelöscht:
    • ANTI-VIR.DAT
    • CHKLIST.DAT
    • CHKLIST.MS
    • CHKLIST.CPS
    • CHKLIST.TAV
    • IVB.NTZ
    • SMARTCHK.MS
    • SMARTCHK.CPS
    • AVGQT.DAT
    • AGUARD.DAT
    • Shlwapi.dll
    • Kernel32.dll
    • netapi32.dll
    • sfc.dll

    Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.

    – [HKLM\SYSTEM\CurrentControlSet\Services\
    Wink%dreistellige zufällige Buchstabenkombination%]
    • Type = 110
    • Start = 2
    • ErrorControl = 0
    • ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
    • DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
    • "ObjectName"="LocalSystem"

    – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
    • Security = %hex values

    – [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
    • 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
    • Count = 1
    • NextInstance = 1

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.