Vorsicht! Trojaner kommt mit angeblichen Windows-Patch

Der Trojaner Agent.24 ist per E-Mail unterwegs und versucht den  Anwendern ein falsches Windows-Update vorzugaukeln. Die E-Mail ist angeblich von Microsoft und enthält ein kritisches Sicherheits-Update für Windows 7/Vista/XP. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.

Die E-Mail hat folgendes Aussehen

Betreff: „Critical Microsoft Update for Windows 7/Vista/XP “.

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\%zufällige Buchstabenkombination%.exe

Einer der folgenden Werte wird dem Registryschlüssel „Run“ hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %zufällige Buchstabenkombination% ="%SYSDIR%\%zufällige Buchstabenkombination%.exe"

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination% ]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\%zufällige Buchstabenkombination%.exe /service"
   • "DisplayName"="Print Spooler Service"
   • "ObjectName"="LocalSystem"

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%\Security]
   • "Security"=%Hex Werte%

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! E-Mail mit chinesischen Schriftzeichen lockt mit angeblichen Dokument im Anhang

Der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer. Im Anhang befindet sich ein angebliches Dokument. Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen. Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.

Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet, stattdessen installiert sich der Wurm auf dem System.

Die E-Mail hat folgendes Aussehen

Betreff: %chinesischer Text%

Dateianhang: Document

Die Dateierweiterung ist eine der folgenden: .exe

Größe des Dateianhangs: 57.344 Bytes

E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • A:\Explorer.EXE
   • A:\WINDOWS.EXE
   • %Laufwerk%:\WINDOWS.EXE
   • %Laufwerk%:\ghost.bat
   • %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
   • %Hexadezimale Zahl%.com

– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
   • %Hexadezimale Zahl%.com

– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
   • %Hexadezimale Zahl%.com

– An: %WINDIR%\help\ Mit einem der folgenden Namen:
   • \%Hexadezimale Zahl%.com

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %alle Verzeichnisse%\desktop.ini

– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
   • TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
   • TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
   • TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

Der Wert des folgenden Registry-Schlüssel wird gelöscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • KaV300XP

Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Alter Wert:
   • fullpath = %Einstellungen des Benutzers%
   Neuer Wert:
   • fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • HideFileExt = %Einstellungen des Benutzers%
   • Hidden = %Einstellungen des Benutzers%
   Neuer Wert:
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Wurm lockt mit angeblicher Grußkarte

Der Wurm Zafi.Z verstopft zurzeit die Postfächer. Angeblich soll im Anhang der E-Mail eine Grußkarte gespeichert sein. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Grüße mitgeteilt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Flashcard fuer Dich!“ oder „Grußkarte fuer Dich!“

Dateianhang: link.flashcard.de.viewcard34.php.2672aB.pif

Größe des Dateianhangs: 12.800 Bytes.

E-Mail-Text: „Hallo! %Benutzernamen der Emailadresse des Absenders% hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://xxx/ Viel Spass beim Lesen wuenscht Ihnen ihr...“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
   • %SYSDIR%\%zufällige Buchstabenkombination%.exe
   • %SYSDIR%\%zufällige Buchstabenkombination%.dll
   • %zufällig ausgewähltes Verzeichnis%\%existierende Datei oder Verzeichnis%_update.exe

Es wird versucht folgende Datei auszuführen:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe unter Zuhilfenahme folgender Kommandozeilen-Parameter: %besuchte URL%

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • _Hazafibb = %SYSDIR%\%zufällige Buchstabenkombination%.exe

Folgender weiterer Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\_Hazafibb]

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Der Wurm Lovgate.W ist zurzeit per E-Mail unterwegs und lockt mit einem angeblichen Präsent im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Geschenk, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Attached one Gift for u.

Der Dateiname des Anhangs: enjoy.exe

Größe des Dateianhangs: 179.200 Bytes

E-Mail-Text: Send me your comments.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\WinDriver.exe
   • %SYSDIR%\Winexe.exe
   • %SYSDIR%\WinGate.exe
   • %SYSDIR%\RAVMOND.exe
   • %SYSDIR%\IEXPLORE.EXE
   • %TEMPDIR%\%zufällige Buchstabenkombination%
   • c:\SysBoot.EXE
   • %WINDIR%\SYSTRA.EXE
   • %SYSDIR%\WinHelp.exe

Es werden folgende Dateien erstellt:
– c:\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [AUTORUN]
     Open="C:\SysBoot.EXE" /StartExplorer
– %SYSDIR%\kernel66.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\ily668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\task668.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\reg667.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten:
– [HKLM\software\microsoft\windows\currentversion\run\]
   • "WinGate initialize"="%SYSDIR%\WinGate.exe -remoteshell"
   • "Remote Procedure Call Locator"="RUNDLL32.EXE reg678.dll ondll_reg"
   • "WinHelp"="%SYSDIR%\WinHelp.exe"
   • "Program In Windows"="%SYSDIR%\IEXPLORE.EXE"
– [HKLM\software\microsoft\windows\currentversion\runservices\]
   • "SystemTra"="%WINDIR%\SysTra.EXE /SysTra:Kernel32.Dll"

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\software\microsoft\windows nt\currentversion\windows\]
   • "DebugOptions"="2048"
   • "Documents"=""
   • "DosPrint"="no"
   • "load"=""
   • "NetMessage"="no"
   • "NullPort"="None"
   • "Programs"="com exe bat pif cmd"
   • "run"="RAVMOND.exe"

Folgender Registryschlüssel wird geändert:
– [HKCR\exefile\shell\open\command]
   Alter Wert:
   • @="\"%1\" %*"
   Neuer Wert:
   • @="%SYSDIR%\winexe.exe \"%1\" %*"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Zurzeit ist der Trojaner eBay.a per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner, sich auf dem betreffenden System zu installieren. Die E-Mail kommt mit einer gefälschten Absender-Adresse von eBay.
Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wenn man den Anhang aber öffnet, erscheint keine Rechnung, sondern der Trojaner kapert Ihr System.

Die E-Mail hat folgendes Aussehen

Absender: "eBay Collections", "eBay Finance", "eBay Kundensupport".

Betreff: "Ihre eBay.de Gebuehren".

Dateianhang: "eBay-Rechnung.pdf.exe" und ein PDF-Symbol.

Größe des Dateianhangs: 20.480 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\Rundll16.exe
   • %SYSDIR%\scanregw.exe
   • C:\WINZIP_TMP.exe
   • %SYSDIR%\Update.exe
   • %SYSDIR%\Winzip.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
   • .HTM
   • .DBX
   • .EML
   • .MSG
   • .OFT
   • .NWS
   • .VCF
   • .MBX

Mit folgendem Inhalt:
   • DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
   • %PROGRAM FILES%\Common Files\symantec shared\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\McAfee.com\VSO\*.*
   • %PROGRAM FILES%\NavNT\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
   • SOFTWARE\Symantec\InstalledApps
   • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
   • SOFTWARE\KasperskyLab\Components\101
   • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
   • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Neuer Wert:
   • "WebView"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Neuer Wert:
   • "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Wurm kommt mit angeblichen Klassenfoto

Seit gestern Abend ist eine neue Sober-Variante unterwegs. Sie wurde heute Nacht in deutscher und englischer Sprache per E-Mail an viele Anwender in ganz Deutschland verschickt. Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung "KlassenFoto.zip" bzw. "pword_change.zip", die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q ein Meldungsfenster mit dem Text "Error in packed file" und "CRC header must be $7ff8". Anschließend installiert sich der Wurm im betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: "Fwd: Klassentreffen" oder "Your new Password"

Dateianhang: ZIP-Archiv mit der Bezeichnung "KlassenFoto.zip" bzw. "pword_change.zip"

E-Mail-Text:
"ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ."
oder
“Your password was successfully changed! Please see the attached file for detailed information.”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird TR/Bagle.CQ ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml  (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq  (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin  (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber  (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub  (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx  (Dateigröße: 0 Bytes)

Die 0 Bytes großen Dateien sind Steuerdateien, welche ältere Varianten des Worm/Sober deaktivieren.

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.exe"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.exe"

Der Wurm durchsucht anschließend Dateien nach E-Mail-Adressen, an die er sich mit Hilfe seiner eigenen SMTP-Engine versendet. Ziel ist es Postfächer mit E-Mails zu verstopfen und E-Mail-Server lahm zu legen.

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Trojaner lockt mit hoher Telekom-Rechnung

Der Trojaner TComBill.K verbreitet sich aktuell wieder massiv per E-Mail. Dieser tarnt sich als angebliche Rechnung von der Telekom und versucht den Anwender durch einen hohen Rechnungsbetrag zum Öffnen des Anhangs zu verleiten.

Die E-Mail hat folgendes Aussehen

Betreff: "Telekom Rechnung Online Monat Juli 2010"

Dateianhang: Rechnung.pdf.exe

E-Mail-Text: "Guten Tag, die Gesamtsumme für Ihre Rechnung im Monat Juli 2010 beträgt: 415.81 Euro. Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und – soweit von Ihnen beauftragt – die Einzelverbindungsübersicht. Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter Media Dateien und klickbare Links in Beiträgen und Signaturen sind nur für registrierte Mitglieder verfügbar!!  Du musst Dich oder (oben links) auf "Kontakt". Mit freundlichen Grüßen Ihre T-Com".

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SystemDIR%ipwf.exe

und erstellt folgende Datei:

%SystemDIR%driverswinut.dat

Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

Folgende Einträge in der Windows Registry werden angelegt:

HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
"SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enabled:i pwf

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
"IPFW"=SystemDIRipwf.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Vorsicht! Trojaner wirbt mit Gesundheit und Wissen

Der Trojaner Bagle.DR wird per E-Mail über diverse Spamlisten in Umlauf gebracht und hat sich schon relativ stark verbreitet. Wenn Sie die im Anhang der E-Mail befindliche ZIP-Datei entpacken und ausführen, kopiert sich der Trojaner ins Systemverzeichnis mit dem Dateinamen HLOADER_EXE.EXE und erstellt die Datei HLEADER_DLL.DLL.
Diese neue Datei ist ein Downloader, der mit dem Explorer-Task gestartet wird. Die DLL-Datei, mit einem Umfang von 5.613 Bytes, versucht dann Dateien von verschiedenen Internetseiten auf Ihren PC nachzuladen.

Die E-Mail hat folgendes Aussehen

Betreff: Unterschiedlicher Text

Dateianhang: Health_and_knowledge.zip

E-Mail-Text: Kein Text

Virus: Bagle.DR

Virustyp: Trojaner

Dateigröße: 9.675 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\lphc1boj0e39c.exe

Es werden folgende Dateien erstellt:

– %SYSDIR%\phc1boj0e39c.bmp

– %SYSDIR%\blphc1boj0e39c.scr Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

– C:\Documents and Settings\makrorechner\Local Settings\Temp\.tt1.tmp.vbs Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • lphc1boj0e39c="%SYSDIR%\lphc1boj0e39c.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Software Notifier]
   • InstallationID="3503dd7f-a0fc-4a9b-9fb3-3256a6dc78ce"

– [HKCU\Software\Sysinternals\Bluescreen Screen Saver]
   • EulaAccepted=dword:00000001

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • NoDispBackgroundPage=dword:00000001
   • NoDispScrSavPage=dword:00000001

– [HKCU\Control Panel\Colors]
   Neuer Wert:
   • Background="0 0 255"

– [HKCU\Control Panel\Desktop]
   Neuer Wert:
   • WallpaperStyle="0"
     TileWallpaper="0"
     Wallpaper="%SYSDIR%\phc1boj0e39c.bmp"
     OriginalWallpaper="%SYSDIR%\phc1boj0e39c.bmp"
     SCRNSAVE.EXE="%SYSDIR%\blphc1boj0e39c.scr"
     ScreenSaveActive="1"
     ScreenSaveTimeOut="600"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!