Ames Sat Settings Board

Register Calendar Members List Team Members Search Frequently Asked Questions Go to the Main Page

Home


Ames Sat Settings Board » Computer Ecke » Security » Wurm Klez.E8 » Hello Guest [Login|Register]
Last Post | First Unread Post Print Page | Recommend to a Friend | Add Thread to Favorites
Post New Thread Post Reply
Go to the bottom of this page Wurm Klez.E8
Posts in this Thread Author Date
 Wurm Klez.E8 werner75 13.12.2010 07:07

Author
Post « Previous Thread | Next Thread »
werner75
*V*I*P

images/avatars/avatar-414.gif



Registration Date: 18.04.2009
Posts: 267


Wurm Klez.E8 Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

Klez.E8 12.12.2010
Verbreitung: ----->*****
Schaden: ----->*****

Zurzeit werden wieder E-Mails versandt, die angeblich einen Abbuchungsauftrag bestätigen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang stecken natürlich keine Informationen über den Abbuchungsauftrag, sondern der heimtückische Wurm Klez.E8, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen


Betreff:
Vertrag

Dateianhang:
Rechnung.rar

Größe des Dateianhangs:
65 KByte.

E-Mail-Text: „Sehr geehrte Kundin, sehr geehrte Kunde, Ihr Abbuchungsauftrag wurde erfüllt. Sie finden die Details zu der Rechnung im Anhang.“

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

Es werden folgende Dateien erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\%zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe

– %PROGRAM FILES%\%dreistellige zufällige Buchstabenkombination%%Hexadezimale Zahl%.exe Des Weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Elkern.C

Folgende Dateien werden gelöscht:
• ANTI-VIR.DAT
• CHKLIST.DAT
• CHKLIST.MS
• CHKLIST.CPS
• CHKLIST.TAV
• IVB.NTZ
• SMARTCHK.MS
• SMARTCHK.CPS
• AVGQT.DAT
• AGUARD.DAT
• Shlwapi.dll
• Kernel32.dll
• netapi32.dll
• sfc.dll

Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Security]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enum]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
13.12.2010 07:07 werner75 is offline Search for Posts by werner75 Add werner75 to your Buddy List
Der Betreiber und die Moderatoren vom ass-media.net distanzieren sich hiermit ausdrücklich durch den von werner75 am 13.12.2010 um 07:07 verfassten Beitrag.
Sollte dieser Beitrag Ihre Rechte verletzen bitten wir um Benachrichtigung

Tree Structure | Board Structure
Post New Thread Post Reply
Ames Sat Settings Board » Computer Ecke » Security » Wurm Klez.E8

Privacy policy

Forum Software: Burning Board 2.3.6 pl2, Developed by WoltLab GmbH