Wurm McMaggot.AB

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 30. Januar 2009.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    839
    Zustimmungen:
    90
    Punkte für Erfolge:
    28
    Der Wurm McMaggot.AB ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen von Coca Cola, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Von: noreply@coca-cola.com

    Betreff: Coca Cola is proud to accounce our new Promotion.

    Dateianhang: coupon.zip, postcard.zip

    Größe des Dateianhangs: 449.024 Bytes

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %SYSDIR%\vxworks.exe

    Es wird folgende Datei erstellt und ausgeführt:
    – %SYSDIR%\qnx.exe

    Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Wind River Systems"="c:\windows\\system32\\vxworks.exe

    Folgende Registryschlüssel werden geändert:

    – HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
    FirewallPolicy\StandardProfile\AuthorizedApplications\List
    Neuer Wert:
    • :\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.