unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Einmal vertippt: Rechner neu aufsetzen » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Einmal vertippt: Rechner neu aufsetzen
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

MobyDuck
Lebende Foren Legende


images/avatars/avatar-215.jpg

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.193.218
Nächster Level: 13.849.320

1.656.102 Erfahrungspunkt(e) für den nächsten Levelanstieg

Einmal vertippt: Rechner neu aufsetzen Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen

Wer sich bei einem nicht aktuell gehaltenen System im IE vertippt, kann sein blaues Wunder erleben:

Gibt man z.B. statt "google" "googkle" ein, was schnell passieren kann, dann bekommt man keine Fehlermeldung sondern landet eben bei googkle. (Die URL verkneife ich mir)

Dann passiert folgendes:

2 weitere Fenster poppen auf, die nach ntsearch.com und toolbarpartner.com verlinkt sind.

Unter Ausnutzung einer inzwischen gepatchten Schwachstelle im IE laden diese Seiten die Dateien

pop.chm
ddfs.chm
pic10.jpg.

Die beiden erstgenannten enthalten weiteren schädlichen Code, auch die JPG-Datei ist ausführbar.

Außerdem werden über die Seite daosearch.com folgende Dateien geladen und ausgeführt:

web.exe
classload.jar

Anschließend läd pop.chm den Trojaner

sp.exe (Trojan.Win32.Spooner.f)

Über ddfs.chm wird der Trojan-Downloader.Win32.Small.apf geladen, der wiederum die Trojaner

xz.exe (Trojan-Dropper.Win32.Small.vv) und
Trojan-Downloader.Win32.Small.anu (winloadhh.dll)

nachläd.

Der letztgenannte Trojaner verbindet mit

toolbarpartner.com (ja genau, hatten wir eben schon) und
sturfajtn.com

Diese Seiten laden und installieren dann:

next1.exe: Trojan-Spy.Win32.Banker.jk
next2.exe: Trojan-Proxy.Win32.Small.bh
next3.exe: Backdoor.Win32.Zins.c
ggl.exe: Trojan-Dropper.Win32.Small.vn
inst.exe: Trojan-Dropper.Win32.Small.wp
ldr.exe: Trojan-Downloader.Win32.Agent.lv
proxyrnd.exe: Backdoor.Win32.Jeemp.c

Außerdem wird

winran.exe

ausgeführt. Es handelt sich um einen weiteren Dropper, der eine dll nachläd, die die Hosts-Datei modifiziert und eine Verbindung mit Kaspersky und Symantec unterbindet.

Doch damit noch nicht genug, es kommt noch besser:

Eine ebenfalls gedroppte Datei

svchosts.dll

gibt die Meldung aus:

VIRUS ALERT!
YOUR PC IS INFECTED!

IT HAS BEEN DETECTED THAT YOUR PC HAS AT LEAST 3 DANGEROUS VIRUSES!
TO KNOW FOR SURE YOU URGENTLY NEED TO RUN AN ANTIVIRUS TEST ON YOUR PC!

The consequences of spyware and virus presence on your pc might belike:
loosing all the data, data might be stolen, your secrets might beexposed.

PROTECT YOUR PC!
REMOVE ALL VIRUSES NOW!

Wenn man auf dieses Fenster klickt, landet man bei

topantivirus.biz,

die, na was wohl? - AV-Software feilbietet. fröhlich

Quelle
27.04.2005 19:11 MobyDuck ist offline Beiträge von MobyDuck suchen Nehmen Sie MobyDuck in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Einmal vertippt: Rechner neu aufsetzen

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2024 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;