Aktuelle Viren warnungen

[hisch]

Mitglieder.AI

Erstes Auftreten: April 2004

Länge: 7824


Mitglieder.AI, ein Proxy-Trojenr, wurde das erste Mal am 07. April 2004 gefunden. Er installiert sich durch einen Aufruf selbst und arbeitet als E-Mail-Relay am Port 14247. Der Trojaner stellt Verbindungen zu einigen Web-Sites her und teilt die ID und die Nummer des Ports vom infizierten System mit. Einige Varianten des Bagle Wurms haben Varianten des Trojaners Mitglieder abgelegt und aktiviert (z.B. Bagle.E: Mitglieder.AI).

Mitglieder.AI ist eine PE EXE-Datei, die mit FSG komprimiert wurde.

Mitglieder.AI wurde auch in E-Mail Spams versandt, die folgenden Text enthielten:

We agree with your terms. The deal is acceptable.
For more information please read attached document.

Thank you.
Lisa Marlow.

Wird der Trojaner aufgerufen, kopiert er seinen Code unter dem Namen:

WINDOW.EXE

in das Windows System-Verzeichnis und trägt

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"window.exe" = "%winsysdir%\window.exe"

in die Registry ein. Anschließend öffnet er ein Backdoor am Port 14247 und wartet auf Befehle.

Alle bisherigen Varianten der Mitglieder-Familie beenden keine Prozesse von Anti-Viren- und Sicherheitsprogrammen.

[hisch]

Alias: Moodown.U, Somefool.U

Erstes Auftreten: April 2004

Länge: 18432


Netsky.U wurde das erste Mal am 08.April 2004 gefunden. Diese Variante ist sehr eng mit Netsky.S verwandt. Über 90% des Wurm-Codes ist identisch. Der Wurm verbreitet sich vom 13. bis zum 17. April 2004.

Der Wurm-Code ist eine PE EXE-Datei, die mit PE-Patch und UPX komprimiert wurde. Einige der Zeichenketten sind verschlüsselt.

Nach dem Aufruf des Wurm-Codes wird eine Kopie unter dem Namen

EastAV.EXE

im Windows-Verzeichnis abgelegt und

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SymAV" = "%WinDir%\SynAV.exe"

in die Registry eingefügt.

[hisch]

Dluca.I
Dluca ist eine Familie von "Adware Downloaders". Das Ablegen und Aktivieren von Komponenten kann vor dem Benutzer eines Systems verborgen werden, wenn für das Anwählen von Internet-Seiten der MS Internet Explorer verwendet wird. Wird Dluca aktiviert, können Verbindungen zu Web-Sites aufgebaut werden und ausführbare Dateien heruntergeladen und gestartet werden. Dluca kann auch Informationen über infizierte Systeme übertragen.
Dluca.I kann sich auf einem System installieren, ohne dass der Benutzer etwas davon bemerkt. Seinen Code kopiert er unter den Namen

infwin.exe
infwin-uninstall.exe

in das Windows System-Verzeichnis. Für infwin.exe wird ein Startup-Key in der Registry eingetragen. Anschließend löscht der Trojaner die Datei, von der er gestartet wurde.

Dluca.I kann manuell deinstalliert werden: Starten Sie Dluca mit der Command-Line Option

/uninstall

[hisch]

Istbar
Istbar ist ein Trojaner, der die Einstellungen des MS Internet Explorers manipuliert. Er kann ein neues Menü des Internet Explorers einrichten und eine andere Startseite eintragen. Zusätzlich kann er auch neue Popups einrichten und typische Porno-Werbeseiten anzeigen.

Istbar ist ein Trojaner und kein Virus oder Wurm. Er besitzt also keinerlei Routinen für seine Verbreitung oder Infektionen von Objekten.


Zurück zum Anfang

[hisch]

Variante Gearbug.A
Gearbug.A wurde das erste Mal am 11. April 2004 gefunden. Gearbug.A kopiert seinen Code unter dem Namen

ElimB.exe

in das Windows-Systemverzeichnis.

Infizierte E-Mails enthalten: Absender:

liveupdate@microsoft.com

Subject:

Security Update

Body:

Hi,
We have send you the needed informations to help you ptotect your
Internet Explorer. This issue affects Iternet Explorer, a component of
Windows.
You should apply this update if you have Internet Explorer 5.01 or later.
You can run the attachment to update and fix your Internet Explorer.

Attachment.

ElimB.exe

Infizierte E-Mails werden an alle Adressen aus dem MS Outlook Adressbuch versandt