Vorsicht! Mytob tarnt sich wieder als Strafanzeige

Ein als Strafanzeige der Kripo getarnter Wurm verbreitet sich wieder mit der alten Masche per E-Mail: Der Empfänger sei angeblich beim Herunterladen von Filmen, Software und MP3 erwischt und der Inhalt seines PCs als Beweismittel sichergestellt worden. Eine entsprechende Strafanzeige, so der Mail-Text weiter, „wird Ihnen in den nächsten Tagen schriftlich zugestellt“. Details zu den gesammelten Beweisen sollen sich im Anhang befinden – doch lauert dort nicht der Staatsanwalt, sondern der Wurm Mytob.BW9.

Die E-Mail hat folgendes Aussehen

Betreff: „Ermittlungsverfahren wurde eingeleitet“

Dateianhang: „text.pdf.exe“

E-Mail-Text: „ Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar. Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 62.36.148.*** erfasst wurde. Der Inhalt Ihres PCs wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet. Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.”

Dateigröße: 53.248 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Datei:
   • %SYSDIR%w32NTupdt.exe

Folgende Einträge werden in der Registry angelegt:

–  HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
   • "A New Windows Updater"="w32NTupdt.exe"

–  HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
   • "A New Windows Updater"="w32NTupdt.exe"

–  HKCUSoftwareMicrosoftWindowsCurrentVersionRun
   • "A New Windows Updater"="w32NTupdt.exe"

– HKCUSoftwareMicrosoftOLE
   • "A New Windows Updater"="w32NTupdt.exe"

– HKLMSOFTWAREMicrosoftOle
   • "A New Windows Updater"="w32NTupdt.exe"

– HKCUSYSTEMCurrentControlSetControlLsa
   • "A New Windows Updater"="w32NTupdt.exe"

– HKLMSYSTEMCurrentControlSetControlLsa
   • "A New Windows Updater"="w32NTupdt.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Gefährlicher Anhang in einer angeblichen eBay-Rechnung

Der Trojaner TR/Dldr.Agent ist zurzeit per E-Mail unterwegs und lockt mit einer angeblichen Rechnung von eBay. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen über eine offene Rechnung präsentiert, stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Von: kundensupport@ebay.de

Betreff: 7 Tage bis Ihre Kontosperrung

Dateianhang: Ebay-Rechnung.pdf.exe

Dateigröße: 11.213 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination% ]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%\Security]
   • "Security"=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Wurm lockt mit angeblichem Spiel im Anhang

Der Wurm Ntech8 ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Versprochenes Spiel im Anhang.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:
– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: RKit/Posh.A
– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:
• %SYSDIR%\driver\runtime2.sys
Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV{SPAW EDITOR}00\Control\
   ActiveService
   • Secdrv
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME{SPAW EDITOR}00\Control\
   ActiveService
   • runtime
– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2{SPAW EDITOR}00\Control\
   ActiveService
   • runtime2

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht: Wurm warnt vor Drogen

Der Wurm Rontok.C ist zurzeit wieder per E-Mail unterwegs. Der Wurm versteckt sich in einer E-Mail, die angeblich vor dem Gebrauch von Drogen warnt. Weitere Informationen dazu, könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Gefahr von Drogen, sondern der Wurm installiert such auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Die Betreffzeile ist leer.

Dateianhang: kangen.txt.exe

E-Mail-Text: SAY NO TO DRUGS

Dateigröße: 81.920 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird der Wurm ausgeführt, erstellt er folgende Dateien:

   • %WINDIR%\ShellNew\ElnorB.exe

   • %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr

   • %home%\Start Menu\Programs\Startup\Empty.pif

   • %home%\Local Settings\Application Data\smss.exe

   • %home%\Local Settings\Application Data\services.exe

   • %home%\Local Settings\Application Data\inetinfo.exe

   • %home%\Local Settings\Application Data\csrss.exe

   • %home%\Local Settings\Application Data\lsass.exe

   • %home%\Local Settings\Application Data\winlogon.exe

   • %home%\Templates\bararontok.com

   • %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com

In der Autoexec.bat wird folgender Befehl angelegt: – %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task, welchen der Wurm zu einem vordefinierten Zeitpunkt ausführt.

Folgende Einträge werden in der Registry angelegt:

– HKLM\software\microsoft\windows\currentversion\run

   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run

   • "Tok-Cirrhatus" = ""

   • "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%home%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""

Folgende Einträge werden in der Registry geändert:

Deaktivieren von Regedit und Task Manager:

– HKCU\software\microsoft\windows\currentversion\Policies\System

   Alter Wert:

   • "DisableCMD" = %Einstellungen des Benutzers%

   • "DisableRegistryTools" = %Einstellungen des Benutzers%

   Neuer Wert:

   • "DisableCMD" = dword:00000000

   • "DisableRegistryTools" = dword:00000000

Verschiedenste Einstellungen des Explorers:

– HKCU\software\microsoft\windows\currentversion\Policies\Explorer

   Alter Wert:

   • "NoFolderOptions" = %Einstellungen des Benutzers%

   Neuer Wert:

   • "NoFolderOptions" = dword:00000001

– HKCU\software\microsoft\windows\currentversion\explorer\advanced

   Alter Wert:

   • "ShowSuperHidden" =%Einstellungen des Benutzers%

   • "HideFileExt" = %Einstellungen des Benutzers%

   • "Hidden" = %Einstellungen des Benutzers%

   Neuer Wert:

   • "ShowSuperHidden" = dword:00000000

   • "HideFileExt" = dword:00000001

   • "Hidden" = dword:00000000

So schützen Sie Ihr System

Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Sober lockt mit angeblich verbilligten WM-Eintrittskarten

Der Wurm Sober.B lockt zurzeit mit angeblich verbilligten Eintrittskarten für das Fußball-Event in Südafrika. Im Anhang der E-Mail befinden sich natürlich keine Informationen über die Eintrittskarten zum Schnäppchenpreis, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Reduced in price: Tickets for the world championship 2010 in South Africa”

Dateianhang: „Tickets.txt.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Sober lockt mit einer schwarzen Liste

Der Wurm Sober.F ist wieder per E-Mail unterwegs. In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind. Nähere  Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Warnung!

Dateianhang: Schwarze-Liste

Größe des Dateianhangs: 42.496 Bytes

E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

  • %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
   • sys
   • host
   • dir
   • expolrer
   • win
   • run
   • log
   • 32
   • disc
   • crypt
   • data
   • diag
   • spool
   • service
   • smss32

Es werden folgende Dateien erstellt:
   • %SYSDIR%\winhex32xx.wrm
   • %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   %zufällige Wörter%]
   • %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Gefälschter Windows-Patch versucht Ihr System zu kapern

Der Trojaner Agent.24 ist per E-Mail unterwegs und versucht den  Anwendern ein falsches Windows-Update vorzugaukeln. Die E-Mail ist angeblich von Microsoft und enthält ein kritisches Sicherheits-Update für Windows Vista/XP. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen

Betreff: „Critical Microsoft Update for Windows Vista and XP “.

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination% ]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%\Security]
   • "Security"=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!