NEW - Der Feed des Merlin Images jetzt bei BoxPirates - NEW

NEW - BoxPirates Plugin Feed - NEW
Unsere Plugins direkt über den Plugin Browser eure Box installierbar

Angepinnt Aktuelle Virenwarnungen

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Aktuelle Virenwarnungen

      Virenwarnung 09.09.2009

      TR/Dldr.iBill.X2

      Verbreitung: XXXXX
      Schaden: XXXXX

      Zurzeit werden E-Mails versandt, die angeblich von Amazon stammen. Der E-Mail-Text weist den Empfänger auf einen Rechnungsbetrag von 1.215 Euro für einen bestellten Laptop hin – nähere Details könne der Empfänger dem beigefügten Anhang entnehmen. In dem Anhang steckt natürlich keine Rechnung, sondern ein heimtückischer Trojaner, der das betreffende System infiziert.

      Die E-Mail hat folgendes Aussehen

      Betreff: „Ihre Bestellung 2984931 bei Amazon.de“.

      Dateianhang: „Rechnung.doc.zip“

      E-Mail-Text: „Vielen Dank fur Ihre Bestellung bei Amazon.de!
      Das Sony VAIO VGN-1391517 Zoll WXGA Notebook wird in Kürze versendet. Die Kosten von 1215,- Euro werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer Bestellung entnehmen Sie bitte der angefügten Rechnung. Falls Sie die Bestellung stornieren möchten, bitte den in der Rechnung angegebenen, kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten. Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen schriftlich zugestellt.“

      Virus: TR/Dldr.iBill.X2

      Virustyp: Trojaner

      Dateigröße: 12.800 Bytes

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System

      Es wird versucht die folgenden Dateien herunter zuladen:

      – Die URL ist folgende:
      • .abetterstart.com/x/**********

      Diese wird lokal gespeichert unter: %TEMPDIR%\chiii.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.

      – Die URL ist folgende:
      • abetterstart.com/c/2000/**********

      Diese wird lokal gespeichert unter: %TEMPDIR%\installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig herunter geladen wurde.


      Quelle: viren-ticker





      Dream 7020 HD Newnigma2 Snapshot
      Dream 800 HD se Newnigma2 Snapshot
      Dream 500 HD Newnigma2 Snapshot
      Dream 7025 Newnigma2 Snapshot



    • Virenwarnung 10.09.2009


      Badware7

      Verbreitung: XXXXX
      Schaden: XXXXX

      Der Trojaner Badware7 ist unterwegs und versucht Anwendern ein falsches Windows-Update vorzugaukeln. Die E-Mail ist angeblich von Microsofts Onlinedienst MSN und enthält ein kritisches Sicherheits-Update. Das ist natürlich gelogen: Wer dem Link in der E-Mail folgt, erhält kein wichtiges Windows-Update, sondern einen gefährlichen Trojaner untergeschoben.

      Die E-Mail hat folgendes Aussehen

      Betreff: „Official Windows Update September 2009“

      E-Mail-Text: Unterschiedlicher Text

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System

      Es werden folgende Dateien erstellt:
      • %SYSDIR%\recovery.exe
      • %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt

      Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
      – [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      • run = %SYSDIR%\recovery.exe

      So schützen Sie Ihr System
      Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

      Quelle: viren-ticker





      Dream 7020 HD Newnigma2 Snapshot
      Dream 800 HD se Newnigma2 Snapshot
      Dream 500 HD Newnigma2 Snapshot
      Dream 7025 Newnigma2 Snapshot



    • iBill

      20.01.2010

      Verbreitung:
      Schaden:


      Der Trojaner iBill ist wieder per E-Mails unterwegs. Mit einer angeblichen Abrechnung versucht der Trojaner Anwender zu verleiten, die befindliche Datei im Anhang zu öffnen. In dem Anhang steckt natürlich keine Daten von einer Abrechnung, sondern der Trojaner selbst, der das betreffende System dann infiziert.

      Die E-Mail hat folgendes Aussehen

      Betreff: „Abrechnung 213851614859“.

      Dateianhang: Unterschiedlich

      E-Mail-Text: Unterschiedlich

      Dateigröße: Unterschiedlich

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System:

      Folgender Schlüssel wird in der Registry angelegt, damit die DLL bei jedem Windows-Start automatisch geladen wird:

      HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive Setup Installed Components{8B75D81C-C498-4935-C5D1-43AA4DB90836}

      Nach dem Start der DLL nimmt diese Kontakt mit zwei Servern in China und in den USA auf und wartet auf Anweisungen.



      virenticker.de


    • BackNine.Z11

      22.01.2010

      Verbreitung:
      Schaden:


      Eine mit einem Wurm verseuchte E-Mail lockt mit einem angeblichen Geld-Gewinn. Weitere Informationen über den plötzlichen Geld-Segen könne man der Datei im Anhang entnehmen. In dem Anhang steckt natürlich keine Informationen über den Geldsegen, sondern der Wurm selbst, der das betreffende System dann infiziert.

      Die E-Mail hat folgendes Aussehen

      Betreff: „You are a very lucky, read this mail!“.

      Dateianhang: „BigCashForYou.exe.txt“

      E-Mail-Text: „Hi, you won a big amount of money!!! If you want to know more look at the attachment!“

      Virus: BackNine.Z11

      Virustyp: Wurm

      Dateigröße: 20.992 Bytes

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System:

      Es werden folgende Dateien erstellt:
      • %SYSDIR%\recovery.exe
      • %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt

      Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
      – [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      • run = %SYSDIR%\recovery.exe


      virenticker.de


    • Rontok.C

      23.01.2010

      Verbreitung:
      Schaden:


      Der Wurm Rontok.C ist wieder per E-Mail unterwegs. Der Wurm versteckt sich in einer E-Mail, die angeblich vor dem Gebrauch von Drogen warnt. Weitere Informationen dazu, könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Gefahr von Drogen, sondern der Wurm installiert such auf dem betreffenden System.

      Die E-Mail hat folgendes Aussehen

      Betreff: Die Betreffzeile ist leer.

      Dateianhang: drugs.txt.exe

      E-Mail-Text: SAY NO TO DRUGS

      Virus: Rontok.C

      Virustyp: Wurm

      Dateigröße: 81.920 Bytes

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System:

      Wird der Wurm ausgeführt, erstellt er folgende Dateien:
      • %WINDIR%\ShellNew\ElnorB.exe
      • %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr
      • %home%\Start Menu\Programs\Startup\Empty.pif
      • %home%\Local Settings\Application Data\smss.exe
      • %home%\Local Settings\Application Data\services.exe
      • %home%\Local Settings\Application Data\inetinfo.exe
      • %home%\Local Settings\Application Data\csrss.exe
      • %home%\Local Settings\Application Data\lsass.exe
      • %home%\Local Settings\Application Data\winlogon.exe
      • %home%\Templates\bararontok.com
      • %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com

      In der Autoexec.bat wird folgender Befehl angelegt:
      – %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task, welchen der Wurm zu einem vordefinierten Zeitpunkt ausführt.

      Folgende Einträge werden in der Registry angelegt:

      – HKLM\software\microsoft\windows\currentversion\run
      • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

      – HKCU\software\microsoft\windows\currentversion\run
      • "Tok-Cirrhatus" = ""
      • "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%home%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""

      Folgende Einträge werden in der Registry geändert:

      Deaktivieren von Regedit und Task Manager:
      – HKCU\software\microsoft\windows\currentversion\Policies\System
      Alter Wert:
      • "DisableCMD" = %Einstellungen des Benutzers%
      • "DisableRegistryTools" = %Einstellungen des Benutzers%
      Neuer Wert:
      • "DisableCMD" = dword:00000000
      • "DisableRegistryTools" = dword:00000000

      Verschiedenste Einstellungen des Explorers:
      – HKCU\software\microsoft\windows\currentversion\Policies\Explorer
      Alter Wert:
      • "NoFolderOptions" = %Einstellungen des Benutzers%
      Neuer Wert:
      • "NoFolderOptions" = dword:00000001

      – HKCU\software\microsoft\windows\currentversion\explorer\advanced
      Alter Wert:
      • "ShowSuperHidden" =%Einstellungen des Benutzers%
      • "HideFileExt" = %Einstellungen des Benutzers%
      • "Hidden" = %Einstellungen des Benutzers%
      Neuer Wert:
      • "ShowSuperHidden" = dword:00000000
      • "HideFileExt" = dword:00000001
      • "Hidden" = dword:00000000


      virenticker.de


    • TComBill.7

      25.01.2010

      Verbreitung:
      Schaden:


      Der Trojaner TComBill.7 verbreitet sich aktuell per E-Mail. Dieser tarnt sich als angebliche Rechnung von der Telekom und versucht den Anwender durch einen hohen Rechnungsbetrag zum Öffnen des Anhangs zu verleiten.

      Die E-Mail hat folgendes Aussehen

      Betreff: „Telekom Rechnung über 382,90 Euro“

      Dateianhang: Rechnung.pdf.exe

      E-Mail-Text: „Mit dieser E-Mail erhalten Sie eine Rechnung über 382,90 Euro. <Unterschiedlicher Text>. Mit freundlichen Grüßen Ihre T-Com“.

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System

      Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

      %SystemDIR%ipwf.exe

      und erstellt folgende Datei:

      %SystemDIR%driverswinut.dat

      Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

      Folgende Einträge in der Windows Registry werden angelegt:

      HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
      SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
      "SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enabled:i pwf

      [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
      "IPFW"=SystemDIRipwf.exe


      virenticker.de

    • Agent.RCE6

      28.01.2010

      Verbreitung:
      Schaden:


      Der Trojaner Agent.RCE6 versteckt sich im Anhang einer E-Mail, die scheinbar einen geänderten Vertrag übermitteln soll. Nähere Angaben zum Vertrag, können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
      Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den von der Gegenseite vorbereiteten Vertrag. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

      Die E-Mail hat folgendes Aussehen

      Betreff: Your new labour contract

      E-Mail-Text: We have prepared a contract and added the paragraphs that you wanted to see in it. Our lawyers made alterations on the last page. If you agree with all the provisions we are ready to make the payment on Friday for the first consignment. We are enclosing the file with the prepared contract.

      Dateianhang: contract.pdf.exe

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System

      Eine Kopie seiner selbst wird hier erzeugt:
      • %PROGRAM FILES%\Microsoft Common\wuauclt.exe


      virenticker.de

    • Mytob.PK7

      29.01.2010

      Verbreitung:
      Schaden:


      Der Wurm Mytob.PK7 ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die behauptet, der aktuelle E-Mail-Zugang wäre vom Provider gekündigt worden. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
      Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über den deaktivierten E-Mail-Zugang. Stattdessen installiert sich der Wurm auf dem betreffenden System.

      Die E-Mail hat folgendes Aussehen

      Betreff: Email Account Suspension

      Dateianhang: account-details.pdf.exe

      Größe des Dateianhangs: 56.832 Bytes.

      E-Mail-Text: „Dear user %username from receivers email address%”.
      +++ Attachment: No Virus (Clean)

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System

      Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
      • %SYSDIR%\rnathchk.exe

      Folgende Einträge in der Windows Registry werden angelegt:

      – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
      • "RealPlayer Ath Check"="rnathchk.exe"

      – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      • "RealPlayer Ath Check"="rnathchk.exe"

      – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
      • "RealPlayer Ath Check"="rnathchk.exe"

      Folgende Registry-Schlüssel werden hinzugefügt:

      – [HKCU\Software\Microsoft\OLE]
      • "RealPlayer Ath Check"="rnathchk.exe"

      – [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
      • "RealPlayer Ath Check"="rnathchk.exe"

      – [HKLM\SOFTWARE\Microsoft\Ole]
      • "RealPlayer Ath Check"="rnathchk.exe"

      – [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
      • "RealPlayer Ath Check"="rnathchk.exe"


      virenticker.de


    • Crypt.XPACK.Gen

      01.02.2010

      Verbreitung:
      Schaden:


      Der Trojaner Crypt.XPACK.Gen ist wieder per E-Mail unterwegs und behauptet im Anhang eine Grußkarte zu haben. Und das ist natürlich gelogen. Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine schönen Grüße. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

      Die E-Mail hat folgendes Aussehen

      Betreff: You have received an eCard

      E-Mail-Text: Unterschiedlicher Text in englischer Sprache.

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System

      Kopien seiner selbst werden hier erzeugt:
      • %home%\Application Data\hidn\hldrrr.exe
      • %home%\Application Data\hidn\hidn.exe

      Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
      • c:\temp.zip

      Es wird folgende Datei erstellt:
      – c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
      • Text decoding error.

      Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
      – [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      • drv_st_key = %home%\Application Data\hidn\hidn2.exe

      Alle Werte des folgenden Registryschlüssel werden gelöscht:
      • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

      Folgender Registryschlüssel wird hinzugefügt:
      – [HKCU\Software\FirstRun]
      • FirstRun = 1

      Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
      – [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
      Alter Wert:
      • Start = %Einstellungen des Benutzers%
      Neuer Wert:
      • Start = 4


      virenticker.de

    • Stration.F

      04.02.2010

      Verbreitung:
      Schaden:


      Stration.F ist per E-Mail unterwegs. Der Wurm versteckt sich hinter einer angeblich nicht zugestellten E-Mail. Die versendete E-Mail wurde von der Firewall des Empfängers geblockt, so heißt es. Angeblich war die E-Mail mit einem Wurm infiziert. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die abgewiesene E-Mail, sondern der Wurm dringt in das betreffende System ein!

      Die E-Mail hat folgendes Aussehen

      Betreff: „Mail server report“.

      Dateianhang: „Update-KB%Nummer%-x86.zip.exe“.

      E-Mail-Text: „Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Please install updates for worm elimination and your computer restoring. Best regards, Customers support service”.

      Dateigröße: 101.376 Bytes

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System

      Es wird versucht folgende Datei zu laden:

      – Die URL ist folgende:
      • www4.rasetikuinyunhderunsa.com/chr/859/**********

      Diese wird lokal gespeichert unter:
      %TEMPDIR%\~%Nummer%.tmp und anschließend ausgeführt.

      Wird der Wurm ausgeführt, erstellt er folgende Dateien:
      %WINDIR%\cserv32.dat
      %WINDIR%\cserv32.z
      %WINDIR%\cserv32.wax
      %SYSDIR%\e1.dll

      Folgende Einträge werden in der Registry angelegt:
      – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      • "cserv32"="%WINDIR%\cserv32.exe s"

      Folgende Einträge werden in der Registry geändert:
      – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      Alter Wert:
      • "AppInit_DLLs"=""
      Neuer Wert:
      • "AppInit_DLLs"="e1.dll"


      virenticker.de


    • Neuer Wurm nistet sich in Firefox und Google Chrome ein - Spybot.AKB

      quelle: magnus.de

      Der Sicherheitsspezialist Panda Security hat am Freitag vor einer neuen Wurm-Variante gewarnt, die es auf Internet-Browser abgesehen hat.

      Spybot.AKB verbreite sich via E-Mail und über Online-Datentauschbörsen und tarne sich als Einladung zu sozialen Netzwerken wie Twitter, Google "Buzz" und Hi5 oder als Nachricht der Firmen Amazon, Hallmark und Google, teilte das Unternehmen mit. Der Schädlingstyp installiere nach dem Öffnen einer Datei Browser-Erweiterungen in Firefox und Google Chrome. Diese scheinbar harmlosen Programme, die zum Beispiel "Firefox Security 2.0" heißen, leiten bei bestimmten Suchanfragen auf schädliche Webseiten um.

      Spybot.AKB verringere außerdem die Sicherheitsstufe infizierter Computer, setze sich in der Windows Firewall selbst auf die Liste autorisierter Programme und deaktiviere die Windows-Funktionen für die Erstellung des Ereignisprotokolls und die Kontrolle der Benutzerkonten, hieß es.

      Die infizierten Mails führen im Betreff zum Beispiel "Your friend invited you to Twitter!", "Jessica would like to be your friend on Hi5" oder "Thank you from Google" auf. Angehängt ist eine infizierte ZIP-Datei. Neben dem Weg über E-Mail nutzt der Wurm auch bekannte Online-Plattformen wie zum Beispiel ICQ, eMule, Bearshare oder Morpheus. Hier verbreitet sich der Wurm, indem er sich unter verschiedenen Datei-Namen in die jeweiligen Downloadverzeichnisse der einzelnen Portal-Programme kopiert. Meist tarnt er sich nach Angaben von Panda Security mit den Namen gängiger Software wie etwa Adobe Photoshop oder Windows 7.
      mfg a.nili

      Fragen gehören in den Themenbereich und nicht in die News oder in den Vorstellungsbereich!
      Kein Support per PN!
      Kein Internet Cardsharing (Board Regel 13)!


      ... falls du das Zeug dazu hast und einen Bereich betreuen möchtest
      Werde Teil des Teams! ... und bewirb dich als Moderator

    • Tearec.AI

      22.02.2010

      Verbreitung:
      Schaden:


      Der Wurm Tearec.AI ist zurzeit wieder per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

      Die E-Mail hat folgendes Aussehen:

      Betreff: You Must View

      Dateianhang: Clipe.zip.exe

      Größe des Dateianhangs: 94.154 Bytes

      E-Mail-Text: See my photos. It's Free :)

      Betroffene Betriebssysteme: Alle Windows-Versionen.

      Installation auf dem System

      Kopien seiner selbst werden hier erzeugt:
      • %WINDIR%\Rundll16.exe
      • %SYSDIR%\scanregw.exe
      • C:\WINZIP_TMP.exe
      • %SYSDIR%\Update.exe
      • %SYSDIR%\Winzip.exe
      • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

      Folgende Dateien werden überschreiben.
      Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3


      – %alle Verzeichnisse%

      Dateiendungen:
      • .HTM
      • .DBX
      • .EML
      • .MSG
      • .OFT
      • .NWS
      • .VCF
      • .MBX

      Mit folgendem Inhalt:
      • DATA Error [47 0F 94 93 F4 K5]

      Folgende Dateien werden gelöscht:
      • %PROGRAM FILES%\DAP\*.dll
      • %PROGRAM FILES%\BearShare\*.dll
      • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
      • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
      • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
      • %PROGRAM FILES%\Norton AntiVirus\*.exe
      • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
      • %PROGRAM FILES%\McAfee.com\VSO\*.exe
      • %PROGRAM FILES%\McAfee.com\Agent\*.*
      • %PROGRAM FILES%\McAfee.com\shared\*.*
      • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
      • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
      • %PROGRAM FILES%\NavNT\*.exe
      • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
      • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
      • %PROGRAM FILES%\Grisoft\AVG7\*.dll
      • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
      • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
      • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
      • %PROGRAM FILES%\Morpheus\*.dll
      • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
      • %PROGRAM FILES%\Common Files\symantec shared\*.*
      • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
      • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
      • %PROGRAM FILES%\McAfee.com\Agent\*.*
      • %PROGRAM FILES%\McAfee.com\shared\*.*
      • %PROGRAM FILES%\McAfee.com\VSO\*.*
      • %PROGRAM FILES%\NavNT\*.*
      • %PROGRAM FILES%\Norton AntiVirus\*.*
      • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
      • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
      • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
      • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
      • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
      • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

      Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

      – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      • ScanRegistry = "scanregw.exe /scan"

      Die Werte der folgenden Registryschlüssel werden gelöscht:

      – HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      • CleanUp
      • SECUR
      • NPROTECT
      • ccApp
      • ScriptBlocking
      • MCUpdateExe
      • VirusScan Online
      • MCAgentExe
      • VSOCheckTask
      • McRegWiz
      • MPFExe
      • MSKAGENTEXE
      • MSKDetectorExe
      • McVsRte
      • PCClient.exe
      • PCCIOMON.exe
      • pccguide.exe
      • Pop3trap.exe
      • PccPfw
      • tmproxy
      • McAfeeVirusScanService
      • NAV Agent
      • PCCClient.exe
      • SSDPSRV
      • rtvscn95
      • defwatch
      • vptray
      • ScanInicio
      • APVXDWIN
      • KAVPersonal50
      • kaspersky
      • TM Outbreak Agent
      • AVG7_Run
      • AVG_CC
      • Avgserv9.exe
      • AVGW
      • AVG7_CC
      • AVG7_EMC
      • Vet Alert
      • VetTray
      • OfficeScanNT Monitor
      • avast!
      • PANDA
      • DownloadAccelerator
      • BearShare

      – HKCU\Software\Microsoft\Windows\CurrentVersion\Run
      • CleanUp
      • SECUR
      • NPROTECT
      • ccApp
      • ScriptBlocking
      • MCUpdateExe
      • VirusScan Online
      • MCAgentExe
      • VSOCheckTask
      • McRegWiz
      • MPFExe
      • MSKAGENTEXE
      • MSKDetectorExe
      • McVsRte
      • PCClient.exe
      • PCCIOMON.exe
      • pccguide.exe
      • Pop3trap.exe
      • PccPfw
      • tmproxy
      • McAfeeVirusScanService
      • NAV Agent
      • PCCClient.exe
      • SSDPSRV
      • rtvscn95
      • defwatch
      • vptray
      • ScanInicio
      • APVXDWIN
      • KAVPersonal50
      • kaspersky
      • TM Outbreak Agent
      • AVG7_Run
      • AVG_CC
      • Avgserv9.exe
      • AVGW
      • AVG7_CC
      • AVG7_EMC
      • Vet Alert
      • VetTray
      • OfficeScanNT Monitor
      • avast!
      • PANDA
      • DownloadAccelerator
      • BearShare

      Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
      • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
      • SOFTWARE\Symantec\InstalledApps
      • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
      • SOFTWARE\KasperskyLab\Components1
      • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
      • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

      Folgende Registryschlüssel werden geändert:

      Verschiedenste Einstellungen des Explorers:
      – HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
      Neuer Wert:
      • "WebView"=dword:00000000
      • "ShowSuperHidden"=dword:00000000

      Verschiedenste Einstellungen des Explorers:
      – [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
      CabinetState]
      Neuer Wert:
      • "FullPath" = dword:00000001


      virenticker.de


    • Scareware späht Passwörter aus - Spam-Wellen im Netz

      quelle: magnus.de

      Seit einigen Tagen laufen immer wieder neue Spam-Wellen durch die Postfächer, die mit gefälschten Absenderangaben und vorgetäuschten Anliegen als Köder operieren. Sie enthalten Links, die zu Werbeseiten für dubiose Online-Apotheken führen. Auf dem Weg kann jedoch auch Malware eingeschleust werden, die Passwörter ausspioniert.
      Die ersten Mails kamen vorgeblich von Amazon und bestätigten den angeblich Kauf einer nicht näher bezeichneten Ware. Um mehr zu erfahren, sollten die Empfänger die enthaltenen Links anklicken. Eine weitere Welle aus dieser Spam-Schleuder hat dann Wikipedia als Köder benutzt. Angeblich habe sich der Mail-Empfänger dort angemeldet. Die bislang neueste Masche ist eine vorgebliche Anmeldung bei PriceGrabber.

      Die enthaltenen Link führen über eine Weiterleitungsseite auf einer gehackten, an sich legitimen Website zu den hinlänglich bekannten Medikamentenversendern der "Canadian Pharmacy". Doch wie der Bochumer Antivirushersteller G Data in seinem Security Blog berichtet, kann es auf dem Weg dorthin auch zu einer Infektion mit einem betrügerischen Antivirusprogramm (Scareware) namens "Defense Center" kommen.

      Dieses liest gespeicherte Passwörter aus dem geschützten Speicher von Windows (Protected Storage) aus. Es sucht nach Zugangsdaten für Web-Mailer wie Google Mail, Yahoo oder GMX sowie für das Online-Banking und soziale Netzwerke. Dann zeigt es eine Warnmeldung an, in der es quasi vor sich selbst warnt. Defense Center habe einen Passwortspion entdeckt und zeigt die eben ausgespähten Daten an.

      Das Opfer soll zur Abwehr des Datenspions die ebenso teure wie nutzlose Vollversion des falschen Schutzprogramms kaufen - natürlich online mit Kreditkarte. So fallen den Online-Kriminellen auch noch die Kreditkartendaten des Opfers in die Hände. Immerhin: Anzeichen dafür, dass die Scareware die ausspionierten Daten an einen Server im Internet überträgt, haben die G-Data-Forscher nicht gefunden.
      mfg a.nili

      Fragen gehören in den Themenbereich und nicht in die News oder in den Vorstellungsbereich!
      Kein Support per PN!
      Kein Internet Cardsharing (Board Regel 13)!


      ... falls du das Zeug dazu hast und einen Bereich betreuen möchtest
      Werde Teil des Teams! ... und bewirb dich als Moderator