Aktuelles
aktuelle Bedrohungen
Neues von gestern: 2008-08
29.07.2008: Wurm lockt wieder mit angeblich fehlgeleiteter E-Mail im Anhang
Der Wurm Mytob ist wieder unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.
Der Betreff der E-Mail ist einer der folgenden:
- Mail delivery failed: returning message to sender
- Mail Delivery System
- Mail Transaction Failed
- Delivery Status Notification (Failure)
- Returned mail: see transcript for details
Der Text der E-Mail lautet wahlweise:
- "Mail transaction failed. Partial message is available."
- "The following addresses had permanent fatal errors."
- "The message you sent to sigil777.com/trash50534137 was rejected because the quota for the mailbox has been exceeded."
- "A message that you sent could not be delivered to one or more of its recipients. The following addresses failed: karlykay@rs-kartcenter.de"
Der Dateianhang trägt den Namen:
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
- %SYSDIR%\taskgmrs.exe
- C:\funny_pic.scr
- C:\see_this!!.scr
- C:\my_photo2005.scr
- C:\hellmsn.exe
Folgende Einträge in die Registry werden angelegt:
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "WINTASK"="taskgmr.exe"
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "WINTASK"="taskgmr.exe"
- [HKCU\Software\Microsoft\OLE]
• "WINTASK"="taskgmr.exe"
- [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "WINTASK"="taskgmr.exe"
Quelle:
· – · – ·
· · · – · –