Dienstag, 12. April 2011

Gefährliches Spiel | Verseuchte Webseiten | Bundespolizei-Trojaner

Falls dieser Newsletter fehlerhaft dargestellt wird, können Sie auch eine Web-Version betrachten.

Viren-Ticker

Anzeige

Sehr geehrte Damen und Herren,
schützen Sie Ihre E-Mails vor dem Nachbarskind ...
... mit dem PC-Nacktscanner gegen Internet-Spione >>
hier!

 

Unsere Themen heute:

Vorsicht! Wurm versteckt sich in der gepackten Datei Game.zip

Wurm lockt mit angeblichem Spiel im Anhang.

Liebe Leserin, lieber Leser,

der Wurm Ntech ist unterwegs. Angeblich soll sich im Anhang der E-Mail ein Spiel befinden. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch kein Spiel, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Versprochenes Spiel im Anhang

Dateianhang: Die gepackte Datei Game.zip welche den Wurm enthält.

Größe des Dateianhangs: 20.992 Bytes

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in diese Windows-Systemverzeichnisse:

  • %SYSDIR%\driver\secdrv.sys
  • %SYSDIR%\driver\runtime.sys
    Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
    Erkannt als: RKit/Posh.A
  • %WINDIR%\temp\startdrv.exe Erkannt als: Worm/Ntech.C 
  • %SYSDIR%\driver\runtime2.sys Erkannt als: RKit/Posh.A

Es wird versucht folgende Datei auszuführen:

  • %SYSDIR%\driver\runtime2.sys
    Diese Datei wird verwendet, um den Prozess vor dem Task Manager zu verstecken. Erkannt als: RKit/Posh.A

Der folgende Registry-Schlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    startdrv"="%WINDIR%\Temp\startdrv.exe"

Folgende Registryschlüssel werden hinzugefügt:

  • HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SECDRV
    {SPAW EDITOR}00\Control\ActiveService
    • Secdrv
  • HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME
    {SPAW EDITOR}00\Control\ActiveService
    • runtime
  • HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNTIME2
    {SPAW EDITOR}00\Control\ActiveService
    • runtime2

Ich wünsche Ihnen ein viren- und wurmfreies System, viel Spaß und Erfolg mit der aktuellen Ausgabe des Viren-Tickers.

Ihr

 

Reiner Backer, Chefredakteur

Zum Beitrag »

Mehr Tipps? Klicken Sie einfach hier! »

Anzeige

Dankeschön-DVD: PC-Nacktscanner gegen Internet-Spione!
So schützen Sie Ihre E-Mails vor dem Nachbarskind …

Sehr geehrte Damen und Herren,
ich kann mit einfachsten Tricks auf Ihren PC zugreifen und Ihre E-Mails mitlesen!

Hier erhalten Sie das größte Schutzpaket für PC & Internet aller Zeiten!

Lösen Sie für immer alle PC-Probleme und schützen Sie sich effektiv und nachhaltig vor PC-Spionage >> hier!

 

Über 700.000 Webseiten mit gefährlicher Software verseucht

Ein Großangriff auf eine Datenbank hat Ende letzter Woche dazu geführt, dass mehr als 700.000 Webseiten mit einer betrügerischen Software infiziert wurde:

Nutzer, die eine dieser Seiten aufrufen, werden unverzüglich zum Download eines vermeintlichen Virenscanners aufgefordert. Doch hinter dem angeblichen Virenscanner steckt ein fieser Betrug, bei dem Sie für eine nicht funktionierende Pseudo-Anwendung jede Menge Geld zahlen. Zu allem Undank werden Ihnen außerdem noch ein paar Trojaner auf die Platte gepackt.

Sie werden sich jetzt vielleicht die Frage stellen, warum gleich Hunderttausende Webseiten infiziert werden konnten? Die Betrüger haben über die Datenbank-Sprache SQL gefährlichen Schad-Code auf diesen Webseiten platzieren können. Da in vielen Datenbanken noch Sicherheitslücken klaffen, da sie nicht auf den neuesten Stand gebracht wurden, hatten die Eindringlinge leichtes Spiel: Ihr fieser Plan geht dann, wenn eine Webseite von einem anderen Server Daten aus einer Datenbank bezieht und in die eigene Datenbank einbindet.

Die infizierten Webseiten zeigen eine martialische Warnung an, dass der PC des Besuchers angeblich von Schad-Software befallen und deshalb unverzüglich gesäubert werden muss. Praktischerweise haben die Betrüger natürlich auch gleich die passende Software am Start – dabei handelt es sich um die ebenso nutzlose wie nicht existierende Anwendung „Windows Stability Center“. Das Windows Stability Center bietet jedoch keinerlei Schutz vor Viren oder Trojaner und soll stattdessen auch noch gegen Geld lizenziert werden. Das Ziel der Betrüger ist klar: Verunsicherte Anwender verunsichern, zum Download nutzloser Software verleiten und Ihnen dann das Geld aus der Tasche ziehen. Im „Lieferumfang“ des Windows Stability Center sind außerdem noch einige Schädlinge enthalten, die sich sofort auf Ihrer Festplatte ausbreiten. Zu der Infektion Ihres Rechners, vor der Sie gewarnt wurden, kommt es also erst, nachdem Sie die angebliche Schutz-Software installiert haben-

Es ist jedoch einfach, sich gegen diese groß angelegte Betrugsmasche zu schützen:

Zunächst zeigt natürlich keine Webseite an, ob Ihr Computer gefährdet ist – lassen Sie sich deshalb keinesfalls verunsichern und laden Sie die scheinbare Sicherheits-Software nicht herunter.

Generell gilt die Regel, dass Sie Virenscanner und andere Software nur von Webseiten herunterladen sollten, denen Sie vertrauen. Dabei handelt es sich um die Webseiten der Hersteller bzw. Entwickler sowie vertrauenswürdige Webseiten wie computerwissen.de, deren Links Sie ebenfalls unbesorgt folgen können. Seien Sie jedoch generell skeptisch, wenn Sie beim Aufruf einer Webseite auf eine andere Webseite umgeleitet werden und/oder wenn Sie durch Warnhinweise verunsichert werden. Im Zweifelsfall sollten Sie lieber den Finger vom Mauszeiger lassen, wenn es darum geht, auf „Download“ zu klicken.

Stark reduziert: Die Preiskracher der Woche >> hier!

Zum Beitrag »

Mehr Tipps? Klicken Sie einfach hier! »

Bundespolizei-Trojaner greift an

Warnung vor gefälschtem BKA-Trojaner.

Die Antivirenforscher von Avira haben eine Malware aufgespürt, die den Nutzer beschuldigt, im Besitz von Kinderpornografie zu sein. Die von der Malware angezeigte Seite, die vorgeblich von der Bundespolizei stammt, gibt sich einen offiziellen Anschein und ist von Logos mehrerer namhafter internationaler Unternehmen umsäumt.

Die Schädlingsautoren verlangen von Opfern 100 Euro zur Freischaltung des PCs, die über den anonymen Bezahldienst "UKash" bezahlt werden sollen; bei Nichtzahlung drohen sie, den Rechner zu formatieren.

Wie bei vielen anderen ähnlichen Betrügereien finden sich zahlreiche Schreibfehler im Text. Zudem hinterlässt die Kontaktadresse, die bei Yahoo gehostet wird, einen wenig professionellen Eindruck.

Beim Schädling selbst handelt es sich um einen sogenannten Dropper, der zwei weitere Schädlinge im System verankert und damit die Infektion startet. Die Schädlinge wiederum legen zahlreiche weitere Dateien im System ab und starten schädliche Aktionen. Beispielsweise ändert die Malware die Startseite des Webbrowsers und lädt weitere Schadsoftware aus dem Internet nach.

Vor der Bedrohung schützt bereits Aviras kostenloser Basisschutz Avira AntiVir Personal.

Zum Beitrag »

Mehr Tipps? Klicken Sie einfach hier! »

Anzeige

Das sicherste Windows aller Zeiten - mit "Windows-Internet-Sicherheit"

Sehr geehrte Damen und Herren,
geben Sie der Internet-Mafia keine Chance:
Schützen Sie Ihren PC ab sofort zu 100 % mit dem
brandneuen Buch "Windows-Internet-Sicherheit"!

Nutzen Sie die besten Tipps aus Ihrem persönlichen Exemplar von "Windows-Internet-Sicherheit" und richten Sie Ihr Windows absolut sicher ein!
Teure PC-Notdienste brauchen Sie nicht mehr.
Bei Windows-Internet-Sicherheit ist alles inklusive
und immer auf dem neuesten Stand.

Dieser Newsletter wird gesponsert von: Windows-Internet-Sicherheit

Empfehlen Sie uns weiter!

Gefällt Ihnen unser kostenloser Newsletter? Dann empfehlen Sie uns weiter, damit auch Ihre Freunde und Kollegen von unseren zahlreichen Tipps & Tricks profitieren können.

Viren-Ticker

ist Bestandteil unseres umfassenden Beratungsservice und wurde an blog.team.2011.nowiq11@blogger.com verschickt.

Falls Sie Ihre persönlichen Daten bearbeiten möchten oder wenn Sie sich für weitere Themen rund um PC, Internet & Co. interessieren, können Sie Ihre Angaben ganz einfach in Ihrem persönlichen Profil anpassen.

Möchten Sie sichergehen, dass Sie unseren Newsletter erhalten? Dann klicken Sie hier und wir zeigen Ihnen, wie das geht – in 3 Schritten.

Die Auswahl der Informationen in diesem Newsletter erfolgte mit größter Sorgfalt. Eine Haftung für die Richtigkeit kann nicht übernommen werden.

Über den Fachverlag für Computerwissen

Leserinnen und Leser des Fachverlages finden bei uns kompetente Hilfe zu allen marktrelevanten Hard- und Software-Themen der IT-, PC- und Microsoft© -Welt. Dabei werden vom Einsteiger bis zum IT-Profi unterschiedliche Zielgruppen mit individuell für sie passenden Informationen und Angeboten angesprochen.

Der Fachverlag für Computerwissen ist ein Unternehmensbereich der VNR Verlag für die Deutsche Wirtschaft AG · Theodor-Heuss-Str. 2-4 · D-53177 Bonn · Tel.: 02 28 9 55 01 90 · Fax: 02 28 36 96 001 · Amtsgericht Bonn, HRB 8165 · Vorstand: Helmut Graf · © 1993-2011 Verlag für die Deutsche Wirtschaft AG

Kontakt

Ihre Anmerkungen, Adressänderungen, Ideen und Wünsche richten Sie bitte an:
info@computerwissen.de | Internet: www.computerwissen.de

Datenschutz

Selbstverständlich können Sie der Verwendung Ihrer personenbezogenen Daten für Zwecke der Werbung und Marktforschung jederzeit widersprechen. Wenden Sie sich hierzu einfach an:

Verlag für die Deutsche Wirtschaft AG
Theodor-Heuss-Str. 2-4
53177 Bonn

Tel: 0228 9 55 01 00
Fax: 0228 3 69 60 01
E-Mail: Werbewiderspruch@vnr.de

Ausführliche Hinweise zum Datenschutz erhalten Sie hier.

Falls Sie künftig nicht mehr von unseren Informationen & Angeboten profitieren wollen finden Sie hier ein Formular für die Abbestellung unserer kostenlosen Newsletter.

Keine Kommentare:

Kommentar veröffentlichen