NEW - Der Feed des Merlin Images jetzt bei BoxPirates - NEW

NEW - BoxPirates Plugin Feed - NEW
Unsere Plugins direkt über den Plugin Browser eure Box installierbar

Wurm Tearec.AZ

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Wurm Tearec.AZ

      Wurm Tearec.AZ


      Verbreitung: *****

      Schaden: *****

      der Wurm Tearec.AZ ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Videoclips im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Videos angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

      Die E-Mail hat folgendes Aussehen:

      Betreff: You Must View This Videoclip!

      Der Dateiname des Anhangs: New Video,zip

      Größe des Dateianhangs: 94.154 Bytes

      E-Mail-Text: hello, i send the file. bye

      Betroffene Betriebssysteme: Alle Windows-Versionen

      Installation auf dem System:

      Kopien seiner selbst werden hier erzeugt:

      %WINDIR%\Rundll16.exe
      %SYSDIR%\scanregw.exe
      C:\WINZIP_TMP.exe
      %SYSDIR%\Update.exe
      %SYSDIR%\Winzip.exe
      %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe
      Folgende Dateien werden überschrieben:
      Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

      %alle Verzeichnisse%
      Dateiendungen:

      .HTM
      .DBX
      .EML
      .MSG
      .OFT
      .NWS
      .VCF
      .MBX
      Mit folgendem Inhalt:

      DATA Error [47 0F 94 93 F4 K5]
      Folgende Dateien werden gelöscht:

      %PROGRAM FILES%\DAP\*.dll
      %PROGRAM FILES%\BearShare\*.dll

      %PROGRAM FILES%\
      Symantec\LiveUpdate\*.*
      %PROGRAM FILES%\Trend Micro\
      PC-cillin 2003\*.exe

      %PROGRAM FILES%\Symantec\
      Common Files\Symantec Shared\*.*
      %PROGRAM FILES%\
      Norton AntiVirus\*.exe

      %PROGRAM FILES%\
      Alwil Software\Avast4\*.exe
      %PROGRAM FILES%
      \McAfee.com\VSO\*.exe

      %PROGRAM FILES%\
      McAfee.com\Agent\*.*
      %PROGRAM FILES%\
      McAfee.com\shared\*.*

      %PROGRAM FILES%\Trend Micro\
      PC-cillin 2002\*.exe
      %PROGRAM FILES%\Trend Micro\
      Internet Security\*.exe

      %PROGRAM FILES%\NavNT\*.exe
      %PROGRAM FILES%\Kaspersky Lab\
      Kaspersky Anti-Virus Personal\*.ppl

      %PROGRAM FILES%\Kaspersky Lab\
      Kaspersky Anti-Virus Personal\*.exe
      %PROGRAM FILES%\
      Grisoft\AVG7\*.dll

      %PROGRAM FILES%\
      TREND MICRO\OfficeScan\*.dll
      %PROGRAM FILES%\
      Trend Micro\OfficeScan Client\*.exe

      %PROGRAM FILES%\LimeWire\
      LimeWire 4.2.6\LimeWire.jar
      %PROGRAM FILES%\Morpheus\*.dll

      %PROGRAM FILES%\CA\
      eTrust EZ Armor\eTrust EZ Antivirus\*.*
      %PROGRAM FILES%\Common Files\
      symantec shared\*.*

      %PROGRAM FILES%\Kaspersky Lab\
      Kaspersky Anti-Virus Personal\*.*
      %PROGRAM FILES%\Kaspersky Lab\
      Kaspersky Anti-Virus Personal Pro\*.*

      %PROGRAM FILES%\
      McAfee.com\Agent\*.*
      %PROGRAM FILES%\
      McAfee.com\shared\*.*

      %PROGRAM FILES%\
      McAfee.com\VSO\*.*
      %PROGRAM FILES%\NavNT\*.*

      %PROGRAM FILES%\
      Norton AntiVirus\*.*
      %PROGRAM FILES%\Panda Software\
      Panda Antivirus 6.0\*.*

      %PROGRAM FILES%\Panda
      Software\Panda Antivirus Platinum\*.*
      %PROGRAM FILES%\
      Symantec\LiveUpdate\*.*

      %PROGRAM FILES%\
      Trend Micro\Internet Security\*.*
      %PROGRAM FILES%\
      Trend Micro\PC-cillin 2002\*.*

      %PROGRAM FILES%\Trend Micro\
      PC-cillin 2003 \*.*



      Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      ScanRegistry = "scanregw.exe /scan"
      Tipp: DLL und Registry entschlüsselt >> hier!

      Die Werte der folgenden Registryschlüssel werden gelöscht:

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run

      CleanUp
      SECUR
      NPROTECT

      ccApp
      ScriptBlocking
      MCUpdateExe

      VirusScan Online
      MCAgentExe
      VSOCheckTask

      McRegWiz
      MPFExe
      MSKAGENTEXE

      MSKDetectorExe
      McVsRte
      PCClient.exe

      PCCIOMON.exe
      pccguide.exe
      Pop3trap.exe

      PccPfw
      tmproxy
      McAfeeVirusScanService

      NAV Agent
      PCCClient.exe
      SSDPSRV

      rtvscn95
      defwatch
      vptray

      ScanInicio
      APVXDWIN
      KAVPersonal50

      kaspersky
      TM Outbreak Agent
      AVG7_Run

      AVG_CC
      Avgserv9.exe
      AVGW

      AVG7_CC
      AVG7_EMC
      Vet Alert

      VetTray
      OfficeScanNT Monitor
      avast!

      PANDA
      DownloadAccelerator
      BearShare


      HKCU\Software\Microsoft\Windows\CurrentVersion\Run

      CleanUp
      SECUR
      NPROTECT

      ccApp
      ScriptBlocking
      MCUpdateExe

      VirusScan Online
      MCAgentExe
      VSOCheckTask

      McRegWiz
      MPFExe
      MSKAGENTEXE

      MSKDetectorExe
      McVsRte
      PCClient.exe

      PCCIOMON.exe
      pccguide.exe
      Pop3trap.exe

      PccPfw
      tmproxy
      McAfeeVirusScanService

      NAV Agent
      PCCClient.exe
      SSDPSRV

      rtvscn95
      defwatch
      vptray

      ScanInicio
      APVXDWIN
      KAVPersonal50

      kaspersky
      TM Outbreak Agent
      AVG7_Run

      AVG_CC
      Avgserv9.exe
      AVGW

      AVG7_CC
      AVG7_EMC
      Vet Alert

      VetTray
      OfficeScanNT Monitor
      avast!

      PANDA
      DownloadAccelerator
      BearShare


      Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:

      Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
      SOFTWARE\Symantec\InstalledApps
      SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
      SOFTWARE\KasperskyLab\Components\101
      SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
      SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum
      Folgende Registryschlüssel werden geändert:

      Verschiedenste Einstellungen des Explorers:

      HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
      Neuer Wert:
      "WebView"=dword:00000000
      "ShowSuperHidden"=dword:00000000
      Verschiedenste Einstellungen des Explorers:

      [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
      Neuer Wert:
      "FullPath" = dword:00000001
      So schützen Sie Ihr System:
      Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
      mfg a.nili

      Fragen gehören in den Themenbereich und nicht in die News oder in den Vorstellungsbereich!
      Kein Support per PN!
      Kein Internet Cardsharing (Board Regel 13)!


      ... falls du das Zeug dazu hast und einen Bereich betreuen möchtest
      Werde Teil des Teams! ... und bewirb dich als Moderator

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von alexandernili ()