 |
Symptome :
|
Präsenz folgender Dateien im Ordner: %WINDIR%\Connection
Wizard\Status:
services.exe, csrss.exe, smss.exe, packed1.sbr, packed2.sbr, packed3.sbr,
sacri1.ggg, sacri2.ggg, sacri3.ggg, voner1.von, voner2.von, voner3.von,
fastso.ber.
und folgende Registry Keys:
HKLM\Software\Microsoft\Windows \CurrentVersion\Run : ["Winstart"
= "%WINDIR%\Connection Wizard\Status\services.exe"]
HKCU\Software\Microsoft\Windows \CurrentVersion\Run : ["Winstart"
= "%WINDIR%\Connection Wizard\Status\services.exe"]
|
|
Technische Beschreibung:
|
Bei Betrieb zeigt der Virus eine "gefälschte" Fehlermeldung
an "Error: CRC not complete". Der Virus ist augenscheinlich von
Jemandem im deutschsprachigen Raum geschrieben und versendet Mails in Deutsch
und Englisch.
FROM:
SUBJECT:
- Your Password
- Registration Confirmation
- Your email was blocked
- mailing error
- Ihr Passwort
- Mail-Fehler!
- Ihre E-Mail wurde verweigert
- Ich bin's, was zum lachen
- Glueckwunsch: Ihr WM Ticket
- WM Ticket Verlosung
- WM-Ticket-Auslosung
Dem Subject ist eventuell vorangestellt:"Re:" or "FwD".
BODY:
Account and Password Information are attached!
Visit: http://www.
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Attachment-Scanner: Status OK,AntiVirus: No Virus found,Server-AntiVirus:
No Virus (Clean)
Passwort und Benutzer-Informationen befinden sich in der beigefuegten
Anlage.
*-* http://www.
*-* MailTo: PasswordHelp
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
End Transmission
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl.
Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer# [
Nun sieh dir das mal an!
Was ein Ferkel ....
Herzlichen Glueckwunsch,
--- FIFA-Pressekontakt:
ok ok ok,,,,, here is it
beim Run auf die begehrten Tickets fur
die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr
ok2006 Team
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
Mail-Scanner: Es wurde kein Virus festgestellt,AntiVirus: Kein Virus
gefunden,AntiVirus-System: Kein Virus erkannt
AntiVirus Service
**** WebSite: http://www.
Der Name der Webseite wird aus folgendem Namenspool ausgesucht:
- microsoft.com, bigfoot.com, yahoo.com, t-online.de, google.com, hotmail.com
ATTACH:
_PassWort-Info.zip
autoemail-text.zip
LOL.zip
mail_info.zip
okTicket-info.zip
Fifa_Info-Text.zip
our_secret.zip
free_PassWort-Info.zip
Winzipped-Text_Data.txt.exe
Winzipped-Text_Data.txt.pif
Der Virus sucht nach Emailadressen, um sich selbst als Datei mit folgenden
Anhängen zu versenden:
pmr, phtm, stm, slk, inbox, imb, csv, bak, imh, xhtml, imm, imh, cms,
nws, vcf, ctl, dhtm, cgi, pp, ppt, msg, jsp, oft, vbs, uin, ldb, pst,
cfg, mdw, mbx, mdx, mda, adp, nab, fdb, vap, dsp, ade, sln dsw, mde, frm,
bas, adr, cls, ini, sowie noch einigen anderen Endungen.
Er versendet sich nicht an Mailadressen, die folgende Teile enthalten:
ntp- ntp@ ntp. info@ test@ @www @from. support smtp- @smtp. gold-certs
ftp. .dial. .ppp. anyone subscribe announce @gmetref sql. someone nothing
you@ user@ reciver@ somebody secure whatever@ whoever@ anywhere yourname
mustermann@ .kundenserver. mailer-daemon variabel noreply -dav law2 .sul.t-
.qmail@ t-ipconnect t-dialin ipt.aol time freeav @ca. abuse winrar domain.
host. viren bitdefender spybot detection ewido. emsisoft linux google
@foo. winzip @example. bellcore. @arin mozilla iana@ iana- @iana @avp
icrosoft @sophos @panda @kaspers free-av antivir virus verizon. @ikarus.
@nai. @messagelab nlpmail01. clock sender youremail home.com hostmaster
postmaster
[ Zurück zum Anfang ]
|
