Gizmo
|
| Verfasst am: Fr Jan 30, 2009 23:27 Titel: Wurm McMaggot.AB |
|
|
Es gibt wieder mal was zu berichten ;-)
Der [b:7ce5f6c0b7][u:7ce5f6c0b7]Wurm McMaggot.AB[/u:7ce5f6c0b7][/b:7ce5f6c0b7] ist per E-Mail unterwegs. Die E-Mail ist angeblich von Coca Cola verschickt worden. Weitere Informationen dazu könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen von Coca Cola, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Von: noreply(at)coca-cola.com
[i:7ce5f6c0b7][b:7ce5f6c0b7][u:7ce5f6c0b7](at) = @[/u:7ce5f6c0b7][/b:7ce5f6c0b7][/i:7ce5f6c0b7]
Betreff:[u:7ce5f6c0b7] Coca Cola is proud to accounce our new Promotion.[/u:7ce5f6c0b7]
Dateianhang: [u:7ce5f6c0b7]coupon.zip, postcard.zip[/u:7ce5f6c0b7]
Größe des Dateianhangs:[u:7ce5f6c0b7] 449.024 Bytes[/u:7ce5f6c0b7]
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\vxworks.exe
Es wird folgende Datei erstellt und ausgeführt:
– %SYSDIR%\qnx.exe
Einer der folgenden Werte wird dem Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Wind River Systems"="c:\windows\\system32\\vxworks.exe
Folgende Registryschlüssel werden geändert:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
Neuer Wert:
• :\windows\\system32\\vxworks.exe"="c:\windows\\system32\\vxworks.exe:*:Enabled:Explorer |
|