|
|
Stration.F 04.02.2010
Verbreitung: ----->*****
Schaden: ----->*****
Stration.F ist per E-Mail unterwegs. Der Wurm versteckt sich hinter einer angeblich nicht zugestellten E-Mail. Die versendete E-Mail wurde von der Firewall des Empfängers geblockt, so heißt es. Angeblich war die E-Mail mit einem Wurm infiziert. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die abgewiesene E-Mail, sondern der Wurm dringt in das betreffende System ein!
Die E-Mail hat folgendes Aussehen
Betreff: „Mail server report“.
Dateianhang: „Update-KB%Nummer%-x86.zip.exe“.
E-Mail-Text: „Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Please install updates for worm elimination and your computer restoring. Best regards, Customers support service”.
Dateigröße: 101.376 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird versucht folgende Datei zu laden:
– Die URL ist folgende:
• www4.rasetikuinyunhderunsa.com/chr/859/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\~%Nummer%.tmp und anschließend ausgeführt.
Wird der Wurm ausgeführt, erstellt er folgende Dateien:
%WINDIR%\cserv32.dat
%WINDIR%\cserv32.z
%WINDIR%\cserv32.wax
%SYSDIR%\e1.dll
Folgende Einträge werden in der Registry angelegt:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "cserv32"="%WINDIR%\cserv32.exe s"
Folgende Einträge werden in der Registry geändert:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
Alter Wert:
• "AppInit_DLLs"=""
Neuer Wert:
• "AppInit_DLLs"="e1.dll"
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
__________________
Menschen mit einer neuen Idee gelten so lange als Spinner, bis sich die Sache durchgesetzt hat.
|
|
