---

Geschrieben von Gexor am 11.11.2009 um 08:13:

  Vorsicht! Wurm lockt u. a. mit angeblichen Bankdokumenten im Anhang

Vorsicht! Wurm lockt u. a. mit angeblichen Bankdokumenten im Anhang
Liebe Leserin, lieber Leser,

der Wurm Mytob.NT4 ist zurzeit unterwegs und lockt unter anderem mit angeblichen Bankdokumenten im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen von einer Bank pr?sentiert, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff ? eine der folgenden:

* hello
* Error
* Status
* Good day
* SERVER REPORT
* Mail Transaction Failed
* Mail Delivery System

Dateianhang ? beginnt mit einer der folgenden:

* doc
* file
* text
* data
* body
* readme
* message
* document
* %zuf?llige Buchstabenkombination%

Die Dateierweiterung ist eine der folgenden:

* .zip
* .scr
* .pif
* .bat
* .exe
* .cmd

Gr??e des Dateianhangs: 58.368 Bytes.

E-Mail-Text:

?Here are your banks documents.

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The original message was included as an attachment.?

Betroffene Betriebssysteme: Alle Windows-Versionen

Info:

Mytob.NT4
10.11.2009





Verbreitung:



Schaden:




Der Wurm Mytob.NT4 ist zurzeit unterwegs und lockt unter anderem mit
angeblichen Bankdokumenten im Anhang. Nach einem Doppelklick auf die im
Anhang befindliche Datei, werden jedoch keine Informationen von einer
Bank pr?sentiert, stattdessen installiert sich der Wurm auf dem
betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff ? eine der folgenden:

hello

Error

Status

Good day

SERVER REPORT

Mail Transaction Failed

Mail Delivery System
Dateianhang ? beginnt mit einer der folgenden:

doc

file

text

data

body

readme

message

document

%zuf?llige Buchstabenkombination%
Die Dateierweiterung ist eine der folgenden:

.zip

.scr

.pif

.bat

.exe

.cmd
Gr??e des Dateianhangs: 58.368 Bytes.
E-Mail-Text:

?Here are your banks documents.

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The original message was included as an attachment.?
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Kopien seiner selbst werden hier erzeugt:

? %SYSDIR%\rnathchk.exe

? c:\pic.scr

? c:\see_this!.pif

? c:\my_picture.scr
Es wird ein Archiv mit einer Kopie seiner selbst erstellt:

? %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp
Es werden folgende Dateien erstellt:
? Eine Datei f?r tempor?ren Gebrauch. Diese wird m?glicherweise wieder gel?scht.

? %TEMPDIR%\tmp%Hexadezimale Zahl%.tmp
Die folgenden Registryschl?ssel werden in einer Endlosschleife
fortlaufen hinzugef?gt um die Prozesse nach einem Neustart des Systems
erneut zu starten.
? [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

? "RealPlayer Ath Check"="rnathchk.exe"
? [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

? "RealPlayer Ath Check"="rnathchk.exe"
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

? "RealPlayer Ath Check"="rnathchk.exe"
Folgende Registryschl?ssel werden hinzugef?gt:
? [HKCU\Software\Microsoft\OLE]

? "RealPlayer Ath Check"="rnathchk.exe"
? [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]

? "RealPlayer Ath Check"="rnathchk.exe"
? [HKLM\SOFTWARE\Microsoft\Ole]

? "RealPlayer Ath Check"="rnathchk.exe"
? [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]

? "RealPlayer Ath Check"="rnathchk.exe"
So sch?tzen Sie Ihr System

Installieren
Sie das neueste Update f?r Ihren Virenscanner und seien Sie vorsichtig
gegen?ber E-Mails von unbekannten Absendern ? besonders gegen?ber
E-Mails mit Links oder mit Anhang!

Quelle:Viren Ticker