Wurm Tearec.AZ
Verbreitung: *****
Schaden: *****
der Wurm Tearec.AZ ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen:
Betreff: You Must View This Videoclip!
Der Dateiname des Anhangs: New Video,zip
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: hello, i send the file. bye
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System:
Kopien seiner selbst werden hier erzeugt:
%WINDIR%\Rundll16.exe
%SYSDIR%\scanregw.exe
C:\WINZIP_TMP.exe
%SYSDIR%\Update.exe
%SYSDIR%\Winzip.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschrieben:
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
%alle Verzeichnisse%
Dateiendungen:
.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
Mit folgendem Inhalt:
DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
%PROGRAM FILES%\DAP\*.dll
%PROGRAM FILES%\BearShare\*.dll
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2003\*.exe
%PROGRAM FILES%\Symantec\
Common Files\Symantec Shared\*.*
%PROGRAM FILES%\
Norton AntiVirus\*.exe
%PROGRAM FILES%\
Alwil Software\Avast4\*.exe
%PROGRAM FILES%
\McAfee.com\VSO\*.exe
%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2002\*.exe
%PROGRAM FILES%\Trend Micro\
Internet Security\*.exe
%PROGRAM FILES%\NavNT\*.exe
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.ppl
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.exe
%PROGRAM FILES%\
Grisoft\AVG7\*.dll
%PROGRAM FILES%\
TREND MICRO\OfficeScan\*.dll
%PROGRAM FILES%\
Trend Micro\OfficeScan Client\*.exe
%PROGRAM FILES%\LimeWire\
LimeWire 4.2.6\LimeWire.jar
%PROGRAM FILES%\Morpheus\*.dll
%PROGRAM FILES%\CA\
eTrust EZ Armor\eTrust EZ Antivirus\*.*
%PROGRAM FILES%\Common Files\
symantec shared\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal Pro\*.*
%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*
%PROGRAM FILES%\
McAfee.com\VSO\*.*
%PROGRAM FILES%\NavNT\*.*
%PROGRAM FILES%\
Norton AntiVirus\*.*
%PROGRAM FILES%\Panda Software\
Panda Antivirus 6.0\*.*
%PROGRAM FILES%\Panda
Software\Panda Antivirus Platinum\*.*
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\
Trend Micro\Internet Security\*.*
%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2003 \*.*
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"
Tipp: DLL und Registry entschlüsselt >> hier!
Die Werte der folgenden Registryschlüssel werden gelöscht:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
SECUR
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
PANDA
DownloadAccelerator
BearShare
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
SECUR
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
PANDA
DownloadAccelerator
BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
SOFTWARE\Symantec\InstalledApps
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\Components\101
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Neuer Wert:
"WebView"=dword:00000000
"ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
Neuer Wert:
"FullPath" = dword:00000001
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
Verbreitung: *****
Schaden: *****
der Wurm Tearec.AZ ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen:
Betreff: You Must View This Videoclip!
Der Dateiname des Anhangs: New Video,zip
Größe des Dateianhangs: 94.154 Bytes
E-Mail-Text: hello, i send the file. bye
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System:
Kopien seiner selbst werden hier erzeugt:
%WINDIR%\Rundll16.exe
%SYSDIR%\scanregw.exe
C:\WINZIP_TMP.exe
%SYSDIR%\Update.exe
%SYSDIR%\Winzip.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Folgende Dateien werden überschrieben:
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3
%alle Verzeichnisse%
Dateiendungen:
.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
Mit folgendem Inhalt:
DATA Error [47 0F 94 93 F4 K5]
Folgende Dateien werden gelöscht:
%PROGRAM FILES%\DAP\*.dll
%PROGRAM FILES%\BearShare\*.dll
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2003\*.exe
%PROGRAM FILES%\Symantec\
Common Files\Symantec Shared\*.*
%PROGRAM FILES%\
Norton AntiVirus\*.exe
%PROGRAM FILES%\
Alwil Software\Avast4\*.exe
%PROGRAM FILES%
\McAfee.com\VSO\*.exe
%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2002\*.exe
%PROGRAM FILES%\Trend Micro\
Internet Security\*.exe
%PROGRAM FILES%\NavNT\*.exe
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.ppl
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.exe
%PROGRAM FILES%\
Grisoft\AVG7\*.dll
%PROGRAM FILES%\
TREND MICRO\OfficeScan\*.dll
%PROGRAM FILES%\
Trend Micro\OfficeScan Client\*.exe
%PROGRAM FILES%\LimeWire\
LimeWire 4.2.6\LimeWire.jar
%PROGRAM FILES%\Morpheus\*.dll
%PROGRAM FILES%\CA\
eTrust EZ Armor\eTrust EZ Antivirus\*.*
%PROGRAM FILES%\Common Files\
symantec shared\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal\*.*
%PROGRAM FILES%\Kaspersky Lab\
Kaspersky Anti-Virus Personal Pro\*.*
%PROGRAM FILES%\
McAfee.com\Agent\*.*
%PROGRAM FILES%\
McAfee.com\shared\*.*
%PROGRAM FILES%\
McAfee.com\VSO\*.*
%PROGRAM FILES%\NavNT\*.*
%PROGRAM FILES%\
Norton AntiVirus\*.*
%PROGRAM FILES%\Panda Software\
Panda Antivirus 6.0\*.*
%PROGRAM FILES%\Panda
Software\Panda Antivirus Platinum\*.*
%PROGRAM FILES%\
Symantec\LiveUpdate\*.*
%PROGRAM FILES%\
Trend Micro\Internet Security\*.*
%PROGRAM FILES%\
Trend Micro\PC-cillin 2002\*.*
%PROGRAM FILES%\Trend Micro\
PC-cillin 2003 \*.*
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"
Tipp: DLL und Registry entschlüsselt >> hier!
Die Werte der folgenden Registryschlüssel werden gelöscht:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
SECUR
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
PANDA
DownloadAccelerator
BearShare
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CleanUp
SECUR
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
PANDA
DownloadAccelerator
BearShare
Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
SOFTWARE\Symantec\InstalledApps
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\KasperskyLab\Components\101
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
Folgende Registryschlüssel werden geändert:
Verschiedenste Einstellungen des Explorers:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Neuer Wert:
"WebView"=dword:00000000
"ShowSuperHidden"=dword:00000000
Verschiedenste Einstellungen des Explorers:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
Neuer Wert:
"FullPath" = dword:00000001
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
mfg a.nili
Fragen gehören in den Themenbereich und nicht in die News oder in den Vorstellungsbereich!
Kein Support per PN!
Kein Internet Cardsharing (Board Regel 13)!
Kein Support per PN!
Kein Internet Cardsharing (Board Regel 13)!
... falls du das Zeug dazu hast und einen Bereich betreuen möchtest
Werde Teil des Teams! ... und bewirb dich als Moderator
Werde Teil des Teams! ... und bewirb dich als Moderator
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von alexandernili ()