Ames Sat Settings Board

Register Calendar Members List Team Members Search Frequently Asked Questions Go to the Main Page

Home


Ames Sat Settings Board » Computer Ecke » Security » Wurm: Traxgy.B5 » Hello Guest [Login|Register]
Last Post | First Unread Post Print Page | Recommend to a Friend | Add Thread to Favorites
Post New Thread Post Reply
Go to the bottom of this page Wurm: Traxgy.B5
Posts in this Thread Author Date
 Wurm: Traxgy.B5 Ham.Master 19.09.2010 13:58

Author
Post « Previous Thread | Next Thread »
s-modHam.Masters-mod Ham.Master is a male
S-MOD


images/avatars/avatar-312.jpg



Registration Date: 14.11.2005
Posts: 2,212
Receiver / Box: Humax 5400; Dreambox 7020; Technisat; Ferguson


Info Wurm: Traxgy.B5 Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

Traxgy.B5 19.09.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Traxgy.B5 ist zurzeit unterwegs und verstopft die E-Mail-Postfächer.
Im Anhang befindet sich ein angebliches Dokument.
Die E-Mail ist leicht zu erkennen, da Betreff und E-Mail-Text aus chinesischen Schriftzeichen bestehen.
Im Anhang befindet sich aber eine Datei mit der Bezeichnung Document.
Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch kein Dokument mit dem verknüpften Textverarbeitungsprogramm geöffnet,
stattdessen installiert sich der Wurm auf dem System.

Die E-Mail hat folgendes Aussehen

Betreff: %chinesischer Text%

Dateianhang: Document

Die Dateierweiterung ist eine der folgenden: .exe

Größe des Dateianhangs: 57.344 Bytes

E-Mail-Text: %chinesischer Text% Document.exe %chinesischer Text%

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• A:\Explorer.EXE
• A:\WINDOWS.EXE
• %Laufwerk%:\WINDOWS.EXE
• %Laufwerk%:\ghost.bat
• %alle Verzeichnisse%\%aktueller Verzeichnisname%.exe

Es erstellt eine Kopie seiner selbst mit einem Dateinamen von einer Liste:
– An: %WINDIR%\\system\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\fonts\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\\temp\ Mit einem der folgenden Namen:
• %Hexadezimale Zahl%.com

– An: %WINDIR%\help\ Mit einem der folgenden Namen:
• \%Hexadezimale Zahl%.com

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
• %alle Verzeichnisse%\desktop.ini

– A:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %Laufwerk%:\NetHood.htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

– %alle Verzeichnisse%\folder.htt Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Zapchast.B

Die folgenden Registry-Schlüssel werden hinzugefügt, um den Prozess nach einem Neustart des Systems erneut zu starten:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• TempCom = %WINDIR%\\system\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\fonts\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\\temp\%Hexadezimale Zahl%.com
• TempCom = %WINDIR%\help\%Hexadezimale Zahl%.com

Der Wert des folgenden Registry-Schlüssels wird gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• KaV300XP

Folgende Registry-Schlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Alter Wert:
• fullpath = %Einstellungen des Benutzers%
Neuer Wert:
• fullpath = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Alter Wert:
• HideFileExt = %Einstellungen des Benutzers%
• Hidden = %Einstellungen des Benutzers%
Neuer Wert:
• HideFileExt = dword:00000001
• Hidden = dword:00000000

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!


__________________

MfG Ham.Master
(This Posting was sent using 100% recycled electrons.)
Technisat HD S2
Ferguson 8900HD
Dreambox 7020 S mit 160GB
Humax 5400
19.09.2010 13:58 Ham.Master is offline Send an Email to Ham.Master Search for Posts by Ham.Master Add Ham.Master to your Buddy List
Der Betreiber und die Moderatoren vom ass-media.net distanzieren sich hiermit ausdrücklich durch den von s-modHam.Masters-mod am 19.09.2010 um 13:58 verfassten Beitrag.
Sollte dieser Beitrag Ihre Rechte verletzen bitten wir um Benachrichtigung

Tree Structure | Board Structure
Post New Thread Post Reply
Ames Sat Settings Board » Computer Ecke » Security » Wurm: Traxgy.B5

Privacy policy

Forum Software: Burning Board 2.3.6 pl2, Developed by WoltLab GmbH