|
|
Rubrik: Virenwarnung/Aktuelle Meldungen "Funny Cards" - Animated Cards verweisen auf Trojan-Downloader Windows Registry wird modifiziert und im Internet Explorer ein Dienst integriert, der Port 80 freigibt (06.09.07) - Zurzeit häufen sich E-Mails mit vermeintlich verlockenden Angeboten. G Data warnt eindringlich vor dem Öffnen der gepackten Anhänge - Zielgruppe der Mails sind Bildersammler und Gamer. Nach Öffnen der Datei wird die Windows Registry modifiziert und im Internet Explorer ein Dienst integriert, der Port 80 freigibt und auf einen Trojan-Downloader verweist (G Data erkennt diesen als Downloader.Win32.Agent.crz). Das Schadprogramm wird unbemerkt vom Anwender im Hintergrund geladen.
Anzeige
1. Die E-Mail ist leicht an der Betreffzeile zu
identifizieren: 'Here is
it' 'Hot
game' 'Hot
pictures' 'Something
hot' 'You ask
me about this game, Here is it' 2. Unterschiedliche Variationen des Mailtextes: Good Day, dear Friend! Monica T.
sent you animated card. You can check this in your attachment. Best
regards, Your
Funny Cards. ------------------------------------ Good
morning, dear! Jane sent
you animated card. You can check this in your attachment. Best
regards, Your
Funny Cards. ------------------------------------ Hello,
dear! Barbara
S. sent you animated card. You can check this in your attachment. Best
regards, Your
Funny Cards. 3. Dateianhang: iloveyou.zip, 19.340 Bytes, MD5: D9473ADDD98616AB9A0C8614701491DF enthält:
iloveyou.exe, 20.992 Bytes , MD5: 8BCA29CBA410AA9EAF16F8CE280FB7E0, G Data erkennt das Schadprogramm
als Trojan-Downloader.Win32.Agent.crz 4. Prozesse Wenn man die Datei ausführt, werden folgende Dateien
·
%System32%/drivers/runtime.sys
·
%System32%/drivers/netdtect.sys und folgende Registry-Einträge erzeugt
·
"HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/runtime" und dort folgende Werte eingetragen:
·
ImagePath = "%System32%/drivers/runtime.sys" · Type = "1" · Start = "3" Es wird ein Dienst eingerichtet und ein Prozess in den Internet Explorer integriert. Es wird versucht folgende IP Adressen auf Port 80 TCP zu erreichen: · 66.246.72.173 · 67.18.114.98 · 208.66.194.241 (G Data: ma) |
||
|
