Information ausblenden
Das Digital Eliteboard ist ein Kostenloses Forum. Wenn du alle Bereiche sehen möchtest oder Fragen hast, musst du dich zunächst Registrieren.

Jetzt Registrieren

Wurm Ntech4

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von Beastmaster, 10. April 2009.

  1. Beastmaster
    Offline

    Beastmaster Moderator Digital Eliteboard Team

    Registriert:
    9. Oktober 2008
    Beiträge:
    3.617
    Zustimmungen:
    12.205
    Punkte für Erfolge:
    113
    Der Wurm Ntech4 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im
    Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Hot game. You ask me about this game, Here is it.

    Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

    Größe des Dateianhangs: 20.992 Bytes.

    E-Mail-Text: Amusing game... In your attachemnt.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
    – %SYSDIR%\driver\secdrv.sys

    – %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

    – %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C

    – %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

    Es wird versucht folgende Datei auszuführen:
    • %SYSDIR%\driver\runtime2.sys
    Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

    Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • startdrv"="%WINDIR%\Temp\startdrv.exe"

    Folgende Registryschlüssel werden hinzugefügt:

    – HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
    ActiveService
    • Secdrv

    – HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
    ActiveService
    • runtime

    – HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
    ActiveService
    • runtime2

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
    Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Direkt Antworten

Überprüfung:
Der Entwurf wurde gespeichert Der Entwurf wurde gelöscht

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.