Wurm Ntech4

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von Beastmaster, 10. April 2009.

  1. Beastmaster
    Offline

    Beastmaster Moderator Digital Eliteboard Team

    Registriert:
    9. Oktober 2008
    Beiträge:
    3.617
    Zustimmungen:
    12.203
    Punkte für Erfolge:
    113
    Der Wurm Ntech4 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im
    Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff: Hot game. You ask me about this game, Here is it.

    Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

    Größe des Dateianhangs: 20.992 Bytes.

    E-Mail-Text: Amusing game... In your attachemnt.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
    – %SYSDIR%\driver\secdrv.sys

    – %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A

    – %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C

    – %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

    Es wird versucht folgende Datei auszuführen:
    • %SYSDIR%\driver\runtime2.sys
    Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

    Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • startdrv"="%WINDIR%\Temp\startdrv.exe"

    Folgende Registryschlüssel werden hinzugefügt:

    – HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SEC DRV{SPAW EDITOR}00\Control\
    ActiveService
    • Secdrv

    – HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME {SPAW EDITOR}00\Control\
    ActiveService
    • runtime

    – HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME 2{SPAW EDITOR}00\Control\
    ActiveService
    • runtime2

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
    Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.