Aktuelles
aktuelle Bedrohungen
Neues von gestern: 2008-08
25.08.2008: Trojaner Dldr.Tiny wieder unterwegs
Der Trojaner Dldr.Tiny ist wieder per E-Mail unterwegs und lockt diesmal mit einem angeblichen Paket das von der Post versendet wird. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.
Der Betreff der E-Mail:
Der Text der E-Mail lautet u. a.:
- Ihr Post Paket N52777. Weitere Informationen zum Versandstatus des Pakets finden Sie im Anhang.
Quelle:
18.08.2008: Bagle-Wurm wieder unterwegs
Ein Trojaner der Bagle-Familie ist wieder unterwegs. Der Trojaner wurde in englischer und deutscher Sprache per E-Mail verschickt. Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung PRICE, die den Trojaner enthält. Wenn die Datei geöffnet wird, startet der Windows-Editor Notepad. Anschließend werden verschiedene Dienste gestoppt, Dateien gelöscht und Prozesse beendet. Hauptangriffsziel dabei ist es, Anti-Virenprogramme zu beenden. Abschließend wird dann versucht, eine Datei von verschiedenen Internet-Servern zu laden, die weitere Schad-Programme nachlädt.
Der Betreff der E-Mail ist einer der folgenden:
- pric %aktuelles Datum%
- price_ %aktuelles Datum%
- price_%aktuelles Datum%
- price-%aktuelles Datum%
- price %aktuelles Datum%
Der Text der E-Mail lautet wahlweise:
Unterschiedlicher Text in englischer und deutscher Sprache. Der Body kann auch leer sein.
Der Dateianhang trägt den Namen:
- price%aktuelles Datum%.zip
- new_price%aktuelles Datum%.zip
- latest_price%aktuelles Datum%.zip
Wird der Wurm erstellt Kopien seiner selbst:
- %home%\Application Data\hidn\hldrrr.exe
- %home%\Application Data\hidn\hidn.exe
außerdem werden folgende Dateien erstellt:
- c:\temp.zip
(gepackt)
- c:\error.txt
Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
Text decoding error.
Folgende Einträge in die Registry werden angelegt:
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "drv_st_key = %home%\Application Data\hidn\hidn2.exe"
- [HKCU\Software\FirstRun]
• "FirstRun = 1"
Folgende Einträge in die Registry werden gelöscht:
- [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Folgende Einträge in die Registry werden geändert, um die Windows-Firwall zu deaktivieren:
- [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
alter Wert:
• "Start = %Einstellungen des Benutzers%"
neuer Wert:
• "Start = 4"
Quelle:
· – · – ·
· · · – · –