Ames Sat Settings Board

Register Calendar Members List Team Members Search Frequently Asked Questions Go to the Main Page

Home


Ames Sat Settings Board » Computer Ecke » Security » Wurm: Ntech » Hello Guest [Login|Register]
Last Post | First Unread Post Print Page | Recommend to a Friend | Add Thread to Favorites
Post New Thread Post Reply
Go to the bottom of this page Wurm: Ntech
Posts in this Thread Author Date
 Wurm: Ntech Ham.Master 15.11.2010 13:08

Author
Post « Previous Thread | Next Thread »
s-modHam.Masters-mod Ham.Master is a male
S-MOD


images/avatars/avatar-312.jpg



Registration Date: 14.11.2005
Posts: 2,212
Receiver / Box: Humax 5400; Dreambox 7020; Technisat; Ferguson


Info Wurm: Ntech Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

Ntech 13.11.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Ntech ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen


Betreff: Versprochenes Spiel im Anhang.

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme:
Alle Windows-Versionen.

Installation auf dem System


Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:

– %SYSDIR%\driver\secdrv.sys
– %SYSDIR%\driver\runtime.sys

Des weiteren wird sie ausgeführt nachdem sie
vollständig erstellt wurde. Erkannt als: RKit/Posh.A

– %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C
– %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:

• %SYSDIR%\driver\runtime2.sys

Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV{SPAW EDITOR}00\Control\
ActiveService
• Secdrv

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME{SPAW EDITOR}00\Control\
ActiveService
• runtime

– HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2{SPAW EDITOR}00\Control\
ActiveService
• runtime2

So schützen Sie Ihr System

Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!


__________________

MfG Ham.Master
(This Posting was sent using 100% recycled electrons.)
Technisat HD S2
Ferguson 8900HD
Dreambox 7020 S mit 160GB
Humax 5400
15.11.2010 13:08 Ham.Master is offline Send an Email to Ham.Master Search for Posts by Ham.Master Add Ham.Master to your Buddy List
Der Betreiber und die Moderatoren vom ass-media.net distanzieren sich hiermit ausdrücklich durch den von s-modHam.Masters-mod am 15.11.2010 um 13:08 verfassten Beitrag.
Sollte dieser Beitrag Ihre Rechte verletzen bitten wir um Benachrichtigung

Tree Structure | Board Structure
Post New Thread Post Reply
Ames Sat Settings Board » Computer Ecke » Security » Wurm: Ntech

Privacy policy

Forum Software: Burning Board 2.3.6 pl2, Developed by WoltLab GmbH