Neues Jahr, alte Masche: Gefährliche Neujahrsgrüße kommen per E-Mail

Fr, Jan 1, 2010

Allgemein

virus-spyware-icon

jetzt gehen wieder Neujahrsgrüße via E-Mail um. Aber Vorsicht: Deren Anhang ist brandgefährlich! Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Neujahrsgrüße. Stattdessen installiert sich der Trojaner Bagle.CT auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Happy New Year”.

Dateianhang: HappyNewYear.txt.exe.

E-Mail-Text: „picture and wishes 2010”.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Trojaner ausgeführt, kopiert er sich nach:  %SystemDIR%\winshost.exe

Er benennt folgende Dateien um:
• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe

Er erstellt folgende Datei:
• %SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

Folgende Einträge werden aus der Registry entfernt:
• [HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]

Folgende Einträge werden der Registry hinzugefügt:
• [HKCU\Software\FirstRun]
• „FirstRunRR”=dword:00000001

VN:F [1.9.10_1130]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.10_1130]
Rating: 0 (from 0 votes)

Hinterlasse einen Kommentar