Text 120, 2175 rader
Skriven 2006-06-04 10:25:00 av KURT WISMER (1:123/140)
Ärende: News, June 4 2006
=========================
[cut-n-paste from sophos.com]
Name Troj/Torpig-AX
Type
* Spyware Trojan
Affected operating systems
* Windows
Side effects
* Drops more malware
* Records keystrokes
* Installs itself in the Registry
* Monitors system activity
Aliases
* Trojan-PSW.Win32.Sinowal.r
* Trojan.Spy.Sinowal-25
* Win32/TrojanDropper.Small.NEA
Prevalence (1-5) 3
Description
Troj/Torpig-AX is a multi-component keyloggin Trojan for the Windows
platform.
Advanced
Troj/Torpig-AX is a multi-component keyloggin Trojan for the Windows
platform.
At the time of writing several samples of Troj/Torpig-AX had been
seeded out as an attachment called ms56.zip.
Troj/Torpig-AX attempts to create the following files:
<Common Files>\Microsoft Shared\Web Folders\ibm00001.dll
<Common Files>\Microsoft Shared\Web Folders\ibm00001.exe
<Common Files>\Microsoft Shared\Web Folders\ibm00002.dll
Troj/Torpig-AX may also create and run components which load the
dropped files.
Troj/Torpig-AX may create entries in the registry to run components
of itself on restart.
Name Troj/Zapchas-BJ
Type
* Trojan
Affected operating systems
* Windows
Side effects
* Allows others to access the computer
* Drops more malware
Aliases
* IRC_ZAPCHAST.J
* TROJ_DROPPER.BAZ
Prevalence (1-5) 2
Description
Troj/Zapchas-BJ is a multi-component backdoor Trojan that drops the
virus W32/Parite-B.
Troj/Zapchas-BJ runs continuously in the background, providing a
backdoor server which allows a remote intruder to gain access and
control over the computer via IRC channels.
Troj/Zapchas-BJ includes functionality to access the internet and
communicate with a remote server via HTTP.
Advanced
Troj/Zapchas-BJ is a multi-component backdoor Trojan that drops the
virus W32/Parite-B.
Troj/Zapchas-BJ runs continuously in the background, providing a
backdoor server which allows a remote intruder to gain access and
control over the computer via IRC channels.
Troj/Zapchas-BJ includes functionality to access the internet and
communicate with a remote server via HTTP.
When Troj/Zapchas-BJ is installed the following files are created:
<System>\aliases.ini
<System>\control.ini
<System>\fullname.txt
<System>\ident.txt
<System>\mirc.ico
<System>\mirc.ini
<System>\nicks.txt
<System>\popups.txt
<System>\remote.ini
<System>\script.ini
<System>\servers.ini
<System>\sup.bat
<System>\sup.reg
<System>\svchost.exe
<System>\users.ini
<System>\yaddress.ico
The file svchost.exe is a legitimate mIRC application, infected with
the virus W32/Parite-B. The file script.ini is a malicious mIRC
configuration file and is also detected as Troj/Zapchas-BJ. The other
files are harmless.
The following registry entries are set or modified, so that
svchost.exe is run when files with extensions of CHA and IRC are
opened/launched:
HKCR\ChatFile\Shell\open\command
(default)
<System>\svchost.exe" -noconnect
HKCR\irc\Shell\open\command
(default)
<System>\svchost.exe" -noconnect
Registry entries are set as follows:
HKCR\ChatFile\DefaultIcon
(default)
<System>\svchost.exe
HKCR\irc\DefaultIcon
(default)
<System>\svchost.exe
Registry entries are created under:
HKCU\Software\Microsoft\Microsoft Agent\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mIRC\
Name Troj/DwnLdr-BYH
Type
* Trojan
Affected operating systems
* Windows
Side effects
* Downloads code from the internet
* Reduces system security
* Installs itself in the Registry
Prevalence (1-5) 2
Description
Troj/DwnLdr-BYH is a downloader Trojan for the Windows platform.
Troj/DwnLdr-BYH includes functionality to access the internet and
communicate with a remote server via HTTP.
Advanced
Troj/DwnLdr-BYH is a downloader Trojan for the Windows platform.
Troj/DwnLdr-BYH includes functionality to access the internet and
communicate with a remote server via HTTP.
When first run Troj/DwnLdr-BYH copies itself to <System>\ipf.exe and
creates the file <System>\drivers\winut.dat.
The following registry entry is created to run ipf.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IPF
<System>\ipf.exe
The following registry entries are set, affecting internet security:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firewall
Policy\StandardProfile\AuthorizedApplications\List
<original path to Trojan executable>
<original path to Trojan executable>:*:Enabled:<original Trojan
filename>
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\Firewall
Policy\StandardProfile\AuthorizedApplications\List\
<System>\ipf.exe
<System>\ipf.exe:*:Enabled:ipf
Name Troj/BeastPWS-C
Type
* Spyware Trojan
Affected operating systems
* Windows
Side effects
* Steals information
* Drops more malware
* Uses its own emailing engine
* Records keystrokes
* Installs itself in the Registry
Prevalence (1-5) 2
Description
Troj/BeastPWS-C is a keylogging Trojan for the Windows platform.
Troj/BeastPWS-C has been seen to arrive in an email claiming to be a
Microsoft patch for the Winlogon service.
When first installed Troj/BeastPWS-C displays the following bogus
message:
"Microsoft WinLogon Service successfully patched."
Troj/BeastPWS-C has functionality to email keystrokes and to
communicate with a remote URL via HTTP.
Advanced
Troj/BeastPWS-C is a keylogging Trojan for the Windows platform.
Troj/BeastPWS-C has been seen to arrive in an email claiming to be a
Microsoft patch for the Winlogon service.
When first installed Troj/BeastPWS-C displays the following bogus
message:
"Microsoft WinLogon Service successfully patched."
When first run Troj/BeastPWS-C copies itself to
<System>\winlogon_patchv1.12 and creates the following file:
<Windows>\winlogon_patchv1.dll
Troj/BeastPWS-C attempts to inject the DLL component into
iexplore.exe (the Internet Explorer process) if it is running. The
DLL contains functionality to log keystrokes and email them to a
remote address. Troj/BeastPWS-C also has functionality to communicate
with a remote URL via HTTP.
Troj/BeastPWS-C creates the following registry entry in an attempt
run itself on restart:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{E22DC74F-B084-F0F8-1BCE-00C8AF63188D}\
StubPath
<System>\winlogon_patchv1.12
Troj/BeastPWS-C may also create an entry in the following registry
key to run itself on restart:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Troj/BeastPWS-C sets the following registry entries, disabling the
automatic startup of other software:
HKLM\SYSTEM\CurrentControlSet\Services\srservice
Start
4
Name W32/Zasran-D
Type
* Worm
How it spreads
* Email attachments
Affected operating systems
* Windows
Side effects
* Allows others to access the computer
* Sends itself to email addresses found on the infected computer
* Installs itself in the Registry
* Leaves non-infected files on computer
Aliases
* Email-Worm.Win32.Banwarum.f
* W32/Banwarum@MM
* Win32/Banwarum.F
* WORM_RANCHNEG.A
* W32.Banwarum@mm
Prevalence (1-5) 2
Description
W32/Zasran-D is a mass mailing worm with backdoor functionality for
the Windows platform.
W32/Zasran-D runs continuously in the background, providing a
backdoor server which allows a remote intruder to gain access and
control over the computer.
W32/Zasran-D is capable of spreading through email. Email sent by
W32/Zasran-D has the following properties:
Subject line chosen from:
Ficke meine Brust!
Geld
Geld von Postbank
Geldueberweisungen
Gewonnen? GeWONNEN!
Guten Tag
Hallo!
Hier sind ihre WM Tickets!
Holen sie jetzt ihre WM Tickets ab!
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich bin dauergeill warum?
Ich hab die neuen Fotos Fertig!
Ich hab ihr Geld.
Ich habe Geld von ihren Postbank Konto bekommen
Ich lauf aus bitte leck mich!
Ich liebe dich!
Ihr Geld, Postbank
Ihre Auszahlungen an mich
JehhuuuU! WWWMMMM!!
Komme mit!
Lass dich Umsonst Wixen! Nur ab 18 Jahren!
Missueberweisungen
Nimm mich durch mein Schadz!
Postbank Ueberweisungen
Sie haben WM Tickets gewonnen!
Treibs mit einer schlampe!
Uberweisungen
Ueberweisung an einen falschen Adressanten
Umsonst mein Arschficken ab 18 Jahren!
Warum schicken sie mir Geld?
Weltmeisterschaft!
WM Tickets!
Message text is typically displayed as a GIF file with the words
chosen from:
Sehr geehrte Damen und Herren,
vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen
und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen,
aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne
Sie nicht und Sie kennen mich nicht.
Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie
mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet
035/98276590
Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich
aus versehentlichen Gruenden ein Password darauf gelegt, er lautet
<random characters>
Mit Freundlichen Gruessen
Manfred Schmidt
-----------------------------
Sehr geehrte Damen und Herren,
seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr,
aber ich glaube es ist ein Fehler unterlaufen. Ich habe ein Konto bei
der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775
Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter
folgender
Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld
zurueckzahlen koennte.
In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort
fuer das Archiv lautet <random characters>
Mit freundlichen Gruessen
Mattias Botcher
-----------------------------
Sehr geehrte Damen und Herren,
warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es
gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es
bitte lassen?
Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
In dem Attach haben sie ein Log von den Ueberweisungen die sie
gemacht haben.
Password dafuer lautet <random characters>
Mit freundlichen Gruessen
Gerhard Meyer
-----------------------------
Sehr geehrte Damen und Herren,
ich bevorzuge ihre friedliche Ansichten, aber wir sind keine
Wohltaetigkeitsorganisation, deswegen bitte wir Sie die
Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen
was sie an uns bereits abschickten.
In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur
den Archiv lautet <random characters>
Mit freundlichen Gruessen
Ingrid Behnke
-----------------------------
Sehr geehrte Damen und Herren,
ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an
uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns
nicht und wir wuerden gerne alles zurueck zahlen.
Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort
dafuer lautet <random characters>
Mit freundlichen Gruessen
Anne Flachman
-----------------------------
Hi,
thx das du Geld an mich schicks, aber kannste damit auf hoeren?
Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang.
Password: <random characters>
mfg Henry
-----------------------------
Hallo,
sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben
eine Posdbank Account. Ich schicken alles an du zurueck, wenn du
damit aufhoeren Geld zu schicken. Danke.
Hier eine Anhang mit der Ueberweisung. Password dafuer lautete
<random characters>
Have a nice day
John Walthers
-----------------------------
Sehr geehrte Damen und Herren,
wir laden Sie rechtherzlich zu unseren Gewinne WM Tickets Aktion.
Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt
erfreuen.
Das Kennwort fuer den Formular lautet <random characters>
Herzlichen Dank
Bathe Maune
-----------------------------
Sehr geehrte Damen und Herren,
Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt
noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie
sind dabei! Verpassen Sie ihre einmalige Chance nicht!
Anhangspassword: <random characters>
Mit freundlichen Gruessen
Lotto-GDI GmbH
-----------------------------
Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du
bist haesslich und geblockt, Sorry,.. Du bist nicht haesslich, ich
war einfach mies drauf. Ich will es wiedergut machen, lade dich damit
zu WM, Tickets habe ich ins Attach gelegt, entpacke es und druecks
aus. Password fuer den Archiv lautet <random characters>
mfg Nadine
-----------------------------
Hi man,
ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und
warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle
Online Version, drueck es aus und unterschreib.
Password zu dem Archiv lautet <random characters>
Mfg Niemand
-----------------------------
Sehr geehrte Damen und Herren,
Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticket
koennen sie so viele wie sie wollen zu dem WM Spiel einladen! Alles
was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre
Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet
<random characters>
Mit freundlichen Gruessen
WM
Free Tickets Organisation (kurz gesch. WMFTO)
-----------------------------
Sehr geehrte Damen und Herren,
ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft,
aber wie es sich rausstellte koennen wir wegen politischen
Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt.
Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief
lesen, sind wir schon in einem anderen Land.
Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu
benoetigte Adresse Habichstra?e 356, Koeln. Wir wuenschen ihnen von
der ganzen Familie gutes Spiel.
In dem Anhang haben sie ein Foto von den Tickets, Password fuer den
Archiv lautet <random characters>
Mit freundlichen Gruessen
Salim Heraldulkalam
-----------------------------
Sehr geehrte Damen und Herren,
danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen
sie damit benachrichtigen, dass Sie GEWONNEN HABT!
Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen
und zu WM gehen!
Dateianhangspassword: <random characters>
Mit freundlichen Gruessen
Lotterie-NOD GmbH
-----------------------------
Hi Schadz ich schreib aus den Inet cafe in Muenchen
meine neuen Fotos sind fertig und ich vermisse dich!
Die fotos sind gut geweorden ich hab das alles nur dier zuliebe
getann und das weisst du!
Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden
ah ja und damit sie keiner ausser die oefnet hab ich ein password
drauf gemacht das password ist mein name also: <random characters>
Mit liebe Monica
-----------------------------
Hi sexgott ich bin so geil das ich nicht mehr kann
hier ein paar fotos wie ich grade abgehe!
das password fuer die fotos ist: <random characters>
Gruesse Monica
-----------------------------
Warum bin ich so dauergeil immer muss ich mir was in die MuMu
reinschieben
ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt
sich so gut an
was meinst du?
Guck dir meine Fotos an und sag bescheid!
das Password fuer die fotos ist: <random characters>
geilen gruss
Tina
-----------------------------
Oh BABY!!!
Ich bin so geil bitte fick mich
meine muschi leuft aus ich will dich o bitte bitttte.........
hofffendlich bist du auch Geil wenn du meine Pics siehst :P
habe dir paar neue mitgeschickt
das password ist: <random characters>
bye bye
-----------------------------
Ja ich bin deine HERRIN
aber du darfst trozdem mein Hintern ficken
ich weiss nicht warum aber das fuelt sich ueber geil an
mach das baby oder hast du keine lust?
Guck dir meine fotos an du wirst schon lust bekommen
das password fuer die pics ist: <random characters>
cya dein bussi
-----------------------------
Hi honey
wie findest du eigendlich das das deine Schwester so Rumhurt?
ich mag sie voll gerne aber sie hat Robert den Afganer auf party ein
geblasen
und Tina hat das mit der kamera aufgenommen
es ist deine sache ob du das deinen Eltern zeigst aber das video
schick ich dir
das password dafuer ist : <random characters>
Alles liebe
-----------------------------
Warum betruegst du Albert?
Ich hab mir dir geschlafen und habe alles getann was du wolltest und
du du ficks meine schwester wo ich Zwei tage zu Mama wegfahre?
Du bist der groesste Arschloch und es ist vorbei!
das video hat mir Tina geschickt wo du mit ihr gepoppt hast und wie
ihr das aufgenommen habt
das ist das Beweis und du wirst es noch sehen!
Das video schick ich mit der Email
das password was ich darauf gemacht habe ist: <random characters>
Fick dich
Helena
-----------------------------
Hallo Albert
Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken
damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann
werde ich alle deine wuensche erfuellen versprochen! Die fotos sind
mit der emial
das password hab ich raufgemacht es lautet: <random characters>
-----------------------------
Willst du WM tickets gewinnen?
Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir
schicken dir 2 Tickets fuer das Finalle!
Der geweinnzettel ist beigefuegt!
Ihr persoenliches password lautet: <random characters>
Ihr WM Team
-----------------------------
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit
strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr
Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde
als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren
gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in
den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:# (siehe Anhang)
ACHTUNG: der Anhang ist Password geschuetzt
der Password fuer den Anhang (ihre Akte)
lautet: <random characters>
bitte vergessen sie ihn nicht
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
-----------------------------
Guten Tag sehr geehrte Damen und Herren!
Meine Web-Site zeichnete Angriffe von ihrer IP Auf
Ich habe mich bei T-Com beschwert und ihre Email bekommen
bitte unterlassen sie alle angriffe auf meine Web-Site
die Anzeige ist erstatet! Die anklage schrift hab ich der Email
beigefuegt.
Password fuer die Anklageschrift lautet: <random characters>
mfg
Karl Stein
-----------------------------
Tina es ist schluss!
Unterlasse es mir die fotos zu schicken wir sind nicht mehr zusammen
und ich will dich nicht mehr nackt sehen!
Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!
Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!
damit deine Intimen fotos keiner sieht hab ich einen password rauf
gemacht
das password ist dein Name: <random characters>
schreib nicht zurueck
Alexei
-----------------------------
Sehr geehrte Frau Tisha
das Zuspammen von meiner Email mir ihren nacktfotos bleibt nicht
unbemerkt.
Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!
Meinen Anwahlt wurde die sache uebergeben!
Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos
schick ich ihnen mit der Anklageschrift zurueck!
Die fotos und das schreiben hab ich der Email beigefuegt,
dass password lautet: <random characters>
Bitte keine Fotos und Emails mehr
mfg
Kresen
-----------------------------
Warum drohen sie mir hab ich ihnen was getann?
Ich wusste schon lange das Schwarze nicht erweunscht sind!
Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern
ich habe der email einen Anhang beigefuergt da drinne ist eine Kopie
der Anzeige
das password fuer die Anzeige lautet: <random characters>
mfg
Ublaskar
-----------------------------
Wir werden sehen ich sperre mich ein!
Sie drohen mir das sie mich aufschlitzen wollen?
Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
Hier die letzte mahnung hab ich der Email beigefuegt!
das Password lautet: <random characters>
Werner Blass
-----------------------------
Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal
Amt weiter!
Das ist Sexuelle belastigung!
Sie bekommen eine Anzeige und eine geldschtraffe
melden sie sich in den naexten tagen bei der Polzei!
Die vorladung und die Fotos als beweis hab ich der Email beigefuegt
das password ist : <random characters>
Emilion Volks
Attached files have the ZIP file extension with one of the following
randomly chosen base names:
Abbild-Der-Rechnung
Anhang
Anhang-Tickets
archiv
Auszahlungen
bank-kontoauszuge
Desktop
Kontoauszug
Neuer Ordner
New Folder
Postbank
Postbank-Ueberweisungen
Rechnung
Rechnung-Anhang
Tickets
Ueberweisung
Weltmeisterschaft
WM-Anhang
WM-Tickets
The worm may also create double extensions where the first extension
is GIF and the final extension is EXE. The zipfile contains a copy of
W32/Zasran-D.
W32/Zasran-D harvests email addresses from files on the infected
computer and from the Windows address book.
Advanced
W32/Zasran-D is a mass mailing worm with backdoor functionality for
the Windows platform.
W32/Zasran-D runs continuously in the background, providing a
backdoor server which allows a remote intruder to gain access and
control over the computer.
When W32/Zasran-D is installed it creates the file <Windows system
folder>\mszsrn32.dll. This file is also detected as W32/Zasran-D.
W32/Zasran-D injects mszsrn32.dll into the WINLOGON.EXE process and
creates numerous registry entries under the following entry to run
the DLL component on startup:
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\mszsrn32
W32/Zasran-D is capable of spreading through email. Email sent by
W32/Zasran-D has the following properties:
Subject line chosen from:
Ficke meine Brust!
Geld
Geld von Postbank
Geldueberweisungen
Gewonnen? GeWONNEN!
Guten Tag
Hallo!
Hier sind ihre WM Tickets!
Holen sie jetzt ihre WM Tickets ab!
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich bin dauergeill warum?
Ich hab die neuen Fotos Fertig!
Ich hab ihr Geld.
Ich habe Geld von ihren Postbank Konto bekommen
Ich lauf aus bitte leck mich!
Ich liebe dich!
Ihr Geld, Postbank
Ihre Auszahlungen an mich
JehhuuuU! WWWMMMM!!
Komme mit!
Lass dich Umsonst Wixen! Nur ab 18 Jahren!
Missueberweisungen
Nimm mich durch mein Schadz!
Postbank Ueberweisungen
Sie haben WM Tickets gewonnen!
Treibs mit einer schlampe!
Uberweisungen
Ueberweisung an einen falschen Adressanten
Umsonst mein Arschficken ab 18 Jahren!
Warum schicken sie mir Geld?
Weltmeisterschaft!
WM Tickets!
Message text is typically displayed as a GIF file with the words
chosen from:
Sehr geehrte Damen und Herren,
vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen
und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen,
aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne
Sie nicht und Sie kennen mich nicht.
Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie
mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet
035/98276590
Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich
aus versehentlichen Gruenden ein Password darauf gelegt, er lautet
<random characters>
Mit Freundlichen Gruessen
Manfred Schmidt
-----------------------------
Sehr geehrte Damen und Herren,
seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr,
aber ich glaube es ist ein Fehler unterlaufen. Ich habe ein Konto bei
der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775
Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter
folgender
Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld
zurueckzahlen koennte.
In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort
fuer das Archiv lautet <random characters>
Mit freundlichen Gruessen
Mattias Botcher
-----------------------------
Sehr geehrte Damen und Herren,
warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es
gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es
bitte lassen?
Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
In dem Attach haben sie ein Log von den Ueberweisungen die sie
gemacht haben.
Password dafuer lautet <random characters>
Mit freundlichen Gruessen
Gerhard Meyer
-----------------------------
Sehr geehrte Damen und Herren,
ich bevorzuge ihre friedliche Ansichten, aber wir sind keine
Wohltaetigkeitsorganisation, deswegen bitte wir Sie die
Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen
was sie an uns bereits abschickten.
In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur
den Archiv lautet <random characters>
Mit freundlichen Gruessen
Ingrid Behnke
-----------------------------
Sehr geehrte Damen und Herren,
ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an
uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns
nicht und wir wuerden gerne alles zurueck zahlen.
Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort
dafuer lautet <random characters>
Mit freundlichen Gruessen
Anne Flachman
-----------------------------
Hi,
thx das du Geld an mich schicks, aber kannste damit auf hoeren?
Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang.
Password: <random characters>
mfg Henry
-----------------------------
Hallo,
sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben
eine Posdbank Account. Ich schicken alles an du zurueck, wenn du
damit aufhoeren Geld zu schicken. Danke.
Hier eine Anhang mit der Ueberweisung. Password dafuer lautete
<random characters>
Have a nice day
John Walthers
-----------------------------
Sehr geehrte Damen und Herren,
wir laden Sie rechtherzlich zu unseren Gewinne WM Tickets Aktion.
Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt
erfreuen.
Das Kennwort fuer den Formular lautet <random characters>
Herzlichen Dank
Bathe Maune
-----------------------------
Sehr geehrte Damen und Herren,
Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt
noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie
sind dabei! Verpassen Sie ihre einmalige Chance nicht!
Anhangspassword: <random characters>
Mit freundlichen Gruessen
Lotto-GDI GmbH
-----------------------------
Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du
bist haesslich und geblockt, Sorry,.. Du bist nicht haesslich, ich
war einfach mies drauf. Ich will es wiedergut machen, lade dich damit
zu WM, Tickets habe ich ins Attach gelegt, entpacke es und druecks
aus. Password fuer den Archiv lautet <random characters>
mfg Nadine
-----------------------------
Hi man,
ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und
warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle
Online Version, drueck es aus und unterschreib.
Password zu dem Archiv lautet <random characters>
Mfg Niemand
-----------------------------
Sehr geehrte Damen und Herren,
Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticket
koennen sie so viele wie sie wollen zu dem WM Spiel einladen! Alles
was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre
Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet
<random characters>
Mit freundlichen Gruessen
WM
Free Tickets Organisation (kurz gesch. WMFTO)
-----------------------------
Sehr geehrte Damen und Herren,
ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft,
aber wie es sich rausstellte koennen wir wegen politischen
Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt.
Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief
lesen, sind wir schon in einem anderen Land.
Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu
benoetigte Adresse Habichstra?e 356, Koeln. Wir wuenschen ihnen von
der ganzen Familie gutes Spiel.
In dem Anhang haben sie ein Foto von den Tickets, Password fuer den
Archiv lautet <random characters>
Mit freundlichen Gruessen
Salim Heraldulkalam
-----------------------------
Sehr geehrte Damen und Herren,
danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen
sie damit benachrichtigen, dass Sie GEWONNEN HABT!
Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen
und zu WM gehen!
Dateianhangspassword: <random characters>
Mit freundlichen Gruessen
Lotterie-NOD GmbH
-----------------------------
Hi Schadz ich schreib aus den Inet cafe in Muenchen
meine neuen Fotos sind fertig und ich vermisse dich!
Die fotos sind gut geweorden ich hab das alles nur dier zuliebe
getann und das weisst du!
Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden
ah ja und damit sie keiner ausser die oefnet hab ich ein password
drauf gemacht das password ist mein name also: <random characters>
Mit liebe Monica
-----------------------------
Hi sexgott ich bin so geil das ich nicht mehr kann
hier ein paar fotos wie ich grade abgehe!
das password fuer die fotos ist: <random characters>
Gruesse Monica
-----------------------------
Warum bin ich so dauergeil immer muss ich mir was in die MuMu
reinschieben
ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt
sich so gut an
was meinst du?
Guck dir meine Fotos an und sag bescheid!
das Password fuer die fotos ist: <random characters>
geilen gruss
Tina
-----------------------------
Oh BABY!!!
Ich bin so geil bitte fick mich
meine muschi leuft aus ich will dich o bitte bitttte.........
hofffendlich bist du auch Geil wenn du meine Pics siehst :P
habe dir paar neue mitgeschickt
das password ist: <random characters>
bye bye
-----------------------------
Ja ich bin deine HERRIN
aber du darfst trozdem mein Hintern ficken
ich weiss nicht warum aber das fuelt sich ueber geil an
mach das baby oder hast du keine lust?
Guck dir meine fotos an du wirst schon lust bekommen
das password fuer die pics ist: <random characters>
cya dein bussi
-----------------------------
Hi honey
wie findest du eigendlich das das deine Schwester so Rumhurt?
ich mag sie voll gerne aber sie hat Robert den Afganer auf party ein
geblasen
und Tina hat das mit der kamera aufgenommen
es ist deine sache ob du das deinen Eltern zeigst aber das video
schick ich dir
das password dafuer ist : <random characters>
Alles liebe
-----------------------------
Warum betruegst du Albert?
Ich hab mir dir geschlafen und habe alles getann was du wolltest und
du du ficks meine schwester wo ich Zwei tage zu Mama wegfahre?
Du bist der groesste Arschloch und es ist vorbei!
das video hat mir Tina geschickt wo du mit ihr gepoppt hast und wie
ihr das aufgenommen habt
das ist das Beweis und du wirst es noch sehen!
Das video schick ich mit der Email
das password was ich darauf gemacht habe ist: <random characters>
Fick dich
Helena
-----------------------------
Hallo Albert
Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken
damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann
werde ich alle deine wuensche erfuellen versprochen! Die fotos sind
mit der emial
das password hab ich raufgemacht es lautet: <random characters>
-----------------------------
Willst du WM tickets gewinnen?
Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir
schicken dir 2 Tickets fuer das Finalle!
Der geweinnzettel ist beigefuegt!
Ihr persoenliches password lautet: <random characters>
Ihr WM Team
-----------------------------
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit
strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr
Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde
als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren
gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in
den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:# (siehe Anhang)
ACHTUNG: der Anhang ist Password geschuetzt
der Password fuer den Anhang (ihre Akte)
lautet: <random characters>
bitte vergessen sie ihn nicht
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
-----------------------------
Guten Tag sehr geehrte Damen und Herren!
Meine Web-Site zeichnete Angriffe von ihrer IP Auf
Ich habe mich bei T-Com beschwert und ihre Email bekommen
bitte unterlassen sie alle angriffe auf meine Web-Site
die Anzeige ist erstatet! Die anklage schrift hab ich der Email
beigefuegt.
Password fuer die Anklageschrift lautet: <random characters>
mfg
Karl Stein
-----------------------------
Tina es ist schluss!
Unterlasse es mir die fotos zu schicken wir sind nicht mehr zusammen
und ich will dich nicht mehr nackt sehen!
Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!
Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!
damit deine Intimen fotos keiner sieht hab ich einen password rauf
gemacht
das password ist dein Name: <random characters>
schreib nicht zurueck
Alexei
-----------------------------
Sehr geehrte Frau Tisha
das Zuspammen von meiner Email mir ihren nacktfotos bleibt nicht
unbemerkt.
Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!
Meinen Anwahlt wurde die sache uebergeben!
Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos
schick ich ihnen mit der Anklageschrift zurueck!
Die fotos und das schreiben hab ich der Email beigefuegt,
dass password lautet: <random characters>
Bitte keine Fotos und Emails mehr
mfg
Kresen
-----------------------------
Warum drohen sie mir hab ich ihnen was getann?
Ich wusste schon lange das Schwarze nicht erweunscht sind!
Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern
ich habe der email einen Anhang beigefuergt da drinne ist eine Kopie
der Anzeige
das password fuer die Anzeige lautet: <random characters>
mfg
Ublaskar
-----------------------------
Wir werden sehen ich sperre mich ein!
Sie drohen mir das sie mich aufschlitzen wollen?
Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
Hier die letzte mahnung hab ich der Email beigefuegt!
das Password lautet: <random characters>
Werner Blass
-----------------------------
Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal
Amt weiter!
Das ist Sexuelle belastigung!
Sie bekommen eine Anzeige und eine geldschtraffe
melden sie sich in den naexten tagen bei der Polzei!
Die vorladung und die Fotos als beweis hab ich der Email beigefuegt
das password ist : <random characters>
Emilion Volks
Attached files have the ZIP file extension with one of the following
randomly chosen base names:
Abbild-Der-Rechnung
Anhang
Anhang-Tickets
archiv
Auszahlungen
bank-kontoauszuge
Desktop
Kontoauszug
Neuer Ordner
New Folder
Postbank
Postbank-Ueberweisungen
Rechnung
Rechnung-Anhang
Tickets
Ueberweisung
Weltmeisterschaft
WM-Anhang
WM-Tickets
The worm may also create double extensions where the first extension
is GIF and the final extension is EXE. The zipfile contains a copy of
W32/Zasran-D.
W32/Zasran-D harvests email addresses from files on the infected
computer and from the Windows address book.
Name Troj/Small-BPI
Type
* Trojan
Affected operating systems
* Windows
Side effects
* Allows others to access the computer
* Downloads code from the internet
* Installs itself in the Registry
Aliases
* Trojan-Downloader.Win32.Small.ik
Prevalence (1-5) 2
Description
Troj/Small-BPI is a backdoor Trojan which allows a remote intruder to
gain access and control over the computer.
Troj/Small-BPI includes functionality to access the internet and
communicate with a remote server via HTTP.
Advanced
Troj/Small-BPI is a backdoor Trojan which allows a remote intruder to
gain access and control over the computer.
Troj/Small-BPI includes functionality to access the internet and
communicate with a remote server via HTTP.
When first run Troj/Small-BPI copies itself to:
<User>\Local Settings\Application Data\<random>.exe
<System>\<random>.exe
Where <random> is a randomly generated filename
The following registry entries are created to run <random>.exe on
startup:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
<random>.exe
<User>\Local Settings\Application Data\<random>.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<random>.exe
<System>\<random>.exe
Name W32/Sdbot-HB
Type
* Worm
Aliases
* Backdoor.IRCBot.gen
* Win32/IRCBot.CL
Protection
* Download virus identity (IDE) file
Protection available since 7 April 2004 09:05:46 (GMT)
Protection history
* Updated - 30 May 2006 08:02:43 (GMT)
* Published - 7 April 2004 09:05:46 (GMT)
Latest protection included in our products from July 2006 (4.07)
More information on IDE files
* What are IDE files?
* How to use IDE files
* Get the latest IDE files
Description
* Summary
* Description
* Recovery
*
This section helps you to understand how it behaves
W32/Sdbot-HB is a worm which attempts to spread to remote network
shares. It also contains backdoor Trojan functionality, allowing
unauthorised remote access to the infected computer via IRC channels
while running in the background as a service process.
W32/Sdbot-HB spreads to network shares with weak passwords as a
result of the backdoor Trojan element receiving the appropriate
command from a remote user.
W32/Sdbot-HB copies itself to the Windows system folder as
MPTCLOAXS.EXE and creates an entry in the registry at the following
location to run itself on system startup:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
W32/Sdbot-HB attempts to terminate a number of process relating to
anti-virus and security products, as well as some relating to
W32/Blaster-A and its variants, including the following:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ADVXDWIN.EXE
ALERTSVC.EXE
amon.exe
ANTITROJAN.EXE
ANTI-TROJAN.EXE
ANTS.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
bot.exe
CCAPP.EXE
CCEVTMGR.EXE
CCPXYSVC.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
CPDCLNT.EXE
dcomx.exe
DEFWATCH.EXE
DFW.EXE
drweb.exe
Drweb32w.exe
drweb386.exe
Drwebupw.exe
Drwebwcl.exe
DUMP.EXE
DUMP1.EXE
DUMPED.EXE
DUMPED1.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
enbiei.exe
ESAFE.EXE
ESPWATCH.EXE
EXPLORER32.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
GUARDDOG.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
index.exe
IOMON98.EXE
IRIS.EXE
JEDI.EXE
KILL.EXE
KILLER.EXE
KPF4GUI.EXE
KPF4SS.EXE
LDNETMON.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
lolx.exe
LOOKOUT.EXE
LordPE.EXE
LordPE32.EXE
LUALL.EXE
MINILOG.EXE
MOOLIVE.EXE
MPFTRAY.EXE
msblast.exe
MSCONFIG.EXE
mslaugh.exe
mspatch.exe
N32SCANW.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NDD32.EXE
NETSTAT.EXE
NETUTILS.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
nod.exe
nod32.exe
NORMIST.EXE
NPROTECT.EXE
NPSSVC.EXE
NTVDM.EXE
NUPGRADE.EXE
NVC95.EXE
NVSVC32.EXE
NWTOOL16.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
penis32.exe
PERSFW.EXE
PM.exe
POPROXY.EXE
PORTMONITOR.EXE
PRKILLER.EXE
PROCDUMP.EXE
PROCDUMP32.EXE
PS.EXE
PSKILL.EXE
PSLIST.EXE
RAV7.EXE
RAV7WIN.EXE
REGEDIT.EXE
RESCUE.EXE
root32.exe
rpc.exe
rpctest.exe
RTVSCN95.EXE
RUNDDL31.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
scvhost.exe
SERV95.EXE
SMC.EXE
SPHINX.EXE
spider.exe
Spiderml.exe
spidernt.exe
SWEEP95.EXE
SWNETSUP.EXE
SymProxySvc.exe
SYSCFG32.EXE
SYSOTRAY32.EXE
TASKKILL.EXE
TASKLIST.EXE
TASKMGR.EXE
TBSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TCPDUMP.EXE
TCPDUMP32.EXE
TDS2-98.EXE
TDS2-NT.EXE
teekids.exe
tftpd.exe
VET95.EXE
VETTRAY.EXE
VPC32.EXE
VPTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSMON.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
WINDRIVER.EXE
WINEXEC.EXE
WINHEX.EXE
WINSOCK2_2.EXE
worm.exe
WRADMIN.EXE
WRCTRL.EXE
ZAPRO.EXE
ZONEALARM.EXE
Name W32/Floppy-F
Type
* Worm
Affected operating systems
* Windows
Side effects
* Installs itself in the Registry
Aliases
* Virus.Win32.VB.o
* Win32/VB.NDO
* W32.SillyFDC
* WORM_CONFIGCOM.A
Prevalence (1-5) 2
Description
W32/Floppy-F is a floppy drive worm that may attempt to copy itself
to A:\New document.exe.
Advanced
W32/Floppy-F is a floppy drive worm that may attempt to copy itself
to A:\New document.exe.
When first run W32/Floppy-F may copy itself to:
<System>\calc.exe
<Windows>\config_.com
<Startup>\startupfolder.com
<Root>\New Document.exe
W32/Floppy-F will also attempt to copy itself into folders on local
hard drives using the folder name as the executable name. For
example, <Folder Name>\<Folder Name>.exe
W32/Floppy-F creates the file \Autorun.inf. This file may be deleted.
The following registry entry is created to run config_.com on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Explorer
<Windows>\config_.com
W32/Floppy-F may periodically cause the infected computer to beep and
may also attempt to shutdown Microsoft Windows.
Name Troj/Zlob-QJ
Type
* Spyware Trojan
Side effects
* Modifies data on the computer
* Deletes files off the computer
* Steals information
* Drops more malware
* Downloads code from the internet
* Installs itself in the Registry
Aliases
* Trojan-Downloader.Win32.Zlob.qj
* Win32/TrojanDownloader.Zlob.OW
Prevalence (1-5) 2
Description
Troj/Zlob-QJ is a Trojan for the Windows platform.
The Trojan downloads and installs files from remote locations.
The Trojan also injects malicious code into system processes.
Advanced
Troj/Zlob-QJ is a Trojan for the Windows platform.
The Trojan typically appears as an installer for "Media-Codec". When
run, the Trojan creates the following files:
<System>\regperf.exe (also detected as Troj/Zlob-QJ)
<System>\ld<random>.tmp (also detected as Troj/Zlob-QJ)
<Program files>\Media-Codec\uninst.exe (harmless)
The Trojan downloads and installs files from remote locations. The
following registry entries are also set:
HKCR\EMediaCodec.Chl\CLSID\
(6BF52A52-394A-11D3-B153-00C04F79FAA6)
HKCR\Media-Codec.Chl\CLSID\
(6BF52A52-394A-11D3-B153-00C04F79FAA6)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
ecodec.exe
C:\Program Files\Media-Codec\ecodec.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
wininet.dll
regperf.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
ProductionEnvironment
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
DisplayName
Media-Codec 4.0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
UninstallString
C:\Program Files\Media-Codec\uninst.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
DisplayVersion
4.0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
URLInfoAbout
www.media-codec.com
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec
Publisher
Media-Codec Software
The Trojan also injects malicious code into system processes.
Name Troj/Bancos-AJS
Type
* Spyware Trojan
Affected operating systems
* Windows
Side effects
* Steals information
* Downloads code from the internet
Aliases
* Trojan-Spy.Win32.Bancos.ha
* Win32/Spy.Bancos.U
* TSPY_BANCOS.BEB
Prevalence (1-5) 2
Description
Troj/Bancos-AJS is an Internet Banking Trojan for the Windows platform.
Advanced
Troj/Bancos-AJS is an Internet Banking Trojan for the Windows platform.
Troj/Bancos-AJS targets the users of several Brazilian banks, by
monitoring the user's internet activity and displaying fake login
pages if the user visits certain predefined URLs. Any login details
entered on the fake pages are logged.
Troj/Bancos-AJS contains the functionality to email these logged
details to a remote user.
When first run Troj/Bancos-AJS copies itself to
<Windows>\windows32.exe.
Name Troj/QQHelp-P
Type
* Trojan
Affected operating systems
* Windows
Side effects
* Downloads code from the internet
* Installs itself in the Registry
Aliases
* BackDoor-CVM
Prevalence (1-5) 2
Description
Troj/QQHelp-P is a downloader/updater Trojan for advertising software.
Troj/QQHelp-P includes functionality to access the internet and to
download, install and run new software.
Advanced
Troj/QQHelp-P is a downloader/updater Trojan for advertising software.
Troj/QQHelp-P includes functionality to access the internet and to
download, install and run new software.
When Troj/QQHelp-P is installed the following files are created:
<Common Files>\updat\update.dat
<Common Files>\updat\update.exe
The following registry entry is created to run update.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Update
<Common Files>\UPDAT\Update.exe
Registry entries are created under:
HKLM\SOFTWARE\Lamp
Name Troj/Dloadr-AIP
Type
* Trojan
Affected operating systems
* Windows
Side effects
* Turns off anti-virus applications
* Downloads code from the internet
Prevalence (1-5) 2
Description
Troj/Dloadr-AIP is a Trojan for the Windows platform.
The Trojan downloads and executes files from a remote site. At the
time of writing, the downloaded file was detected by Sophos's
Anti-Virus products as Troj/Cimuz-AL.
Troj/Dloadr-AIP may dismiss notification messages displayed by some
firewall applications.
Advanced
Troj/Dloadr-AIP is a Trojan for the Windows platform.
When first run Troj/Dloadr-AIP copies itself to <Windows system
folder>\ipf.exe and creates the file <Windows system
folder>\drivers\winut.dat. The winut.dat file is a harmless data file.
The following registry entries are set, affecting internet security:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
<pathname of the Trojan executable>
<path>\<original filename>:*:Enabled:<original base filename>
The Trojan downloads and executes files from a remote site. At the
time of writing, the downloaded file was detected by Sophos's
Anti-Virus products as Troj/Cimuz-AL.
Troj/Dloadr-AIP may dismiss notification messages displayed by some
firewall applications.
Name Troj/Mailbot-AH
Type
* Trojan
Affected operating systems
* Windows
Side effects
* Downloads code from the internet
Aliases
* rojan-Dropper.Win32.Small.ape
* Win32/SpamTool.Mailbot
* SpamTool.Win32.Mailbot.az
Prevalence (1-5) 2
Description
Troj/Mailbot-AH is a Trojan for the Windows platform.
Troj/Mailbot-AH includes functionality to download, install and run
new software.
When Troj/Mailbot-AH is installed it creates the file
<System>\drivers\pe386.sys and runs it as a system service.
Advanced
Troj/Mailbot-AH is a Trojan for the Windows platform.
Troj/Mailbot-AH includes functionality to download, install and run
new software.
When Troj/Mailbot-AH is installed it creates the file
<System>\drivers\pe386.sys and runs it as a system service.
Troj/Mailbot-AH may be used to send unsolicited emails from an
infected computer.
Name Troj/Dloadr-WY
Type
* Trojan
Affected operating systems
* Windows
Side effects
* Downloads code from the internet
* Installs itself in the Registry
Aliases
* Trojan-Downloader.Win32.Banload.gc
* PWS-Banker.gen.i
Prevalence (1-5) 2
Description
Troj/Dloadr-WY is a Trojan for the Windows platform.
Troj/Dloadr-WY includes the functionality to access the internet and
communicate with a remote server via HTTP.
Advanced
Troj/Dloadr-WY is a Trojan for the Windows platform.
Troj/Dloadr-WY includes the functionality to access the internet and
communicate with a remote server via HTTP.
Troj/Dloadr-WY creates the following registry entry in an attempt to
run msnwisterd.exe on system startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msnmenseger
<Windows system folder>\msnwisterd.exe
Name W32/Tigs-B
Type
* Worm
How it spreads
* Network shares
Affected operating systems
* Windows
Side effects
* Modifies data on the computer
* Reduces system security
* Installs itself in the Registry
Prevalence (1-5) 2
Description
W32/Tigs-B is a worm for the Windows platform.
Advanced
W32/Tigs-B is a worm for the Windows platform.
When first run, W32/Tigs-B copies itself to one or more of the
following locations:
<Windows folder>\taskmgr.exe
<Current Folder>\hilder.exe
<Windows system folder>\file.sys
W32/Tigs-B will also create the following batch file (also detected
as W32/Tigs-B):
<Windows system folder>\infect.bat
This file will attempt to relabel all drives from C: to H: as "HACKED"
The worm may also attempt to copy itself to drives A: and G: as
wichtig.exe.
If the user is using the German Language edition of Windows,
W32/Tigs-B will copy itself to:
<All Users>\Dokumente\funny.exe
<All Users
|