Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Ratgeber Recht G DATA warnt vor „Funny Cards“

G DATA warnt vor „Funny Cards“

Archivmeldung vom 04.09.2007

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 04.09.2007 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt

Zur Zeit häufen sich E-Mails mit vermeintlich verlockenden Angeboten. G DATA warnt eindringlich vor dem Öffnen der gepackten Anhänge - Zielgruppe der Mails sind Bildersammler und Gamer.

Nach Öffnen der Datei wird die Windows Registry modifiziert und im Internet Explorer ein Dienst integriert, der Port 80 freigibt und auf einen Trojan-Downloader verweist –(G DATA erkennt diesen als Downloader.Win32.Agent.crz). Das Schadprogramm wird unbemerkt vom Anwender im Hintergrund geladen.

1. Die E-Mail ist leicht an der Betreffzeile zu identifizieren:

'Here is it'
'Hot game'
'Hot pictures'
'Something hot'
'You ask me about this game,
Here is it'

2. Unterschiedliche Variationen des Mailtextes:

Good Day, dear Friend!

Monica T. sent you animated card. You can check this in your attachment.

Best regards,

Your Funny Cards.

------------------------------------

Good morning, dear!

Jane sent you animated card. You can check this in your attachment.

Best regards,

Your Funny Cards.

------------------------------------

Hello, dear!

Barbara S. sent you animated card. You can check this in your attachment.

Best regards,

Your Funny Cards.

+++++++++++++++++++++++++++++++++++++++

3. Dateianhang:

iloveyou.zip, 19.340 Bytes, MD5: D9473ADDD98616AB9A0C8614701491DF enthält: iloveyou.exe, 20.992 Bytes , MD5: 8BCA29CBA410AA9EAF16F8CE280FB7E0, G DATA erkennt das Schadprogramm als Trojan-Downloader.Win32.Agent.crz

4. Prozesse

Wenn man die Datei ausführt, werden folgende Dateien

%System32%\drivers\runtime.sys
%System32%\drivers\netdtect.sys

und folgende Registry-Einträge erzeugt "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\runtime"

und dort folgende Werte eingetragen

ImagePath = "%System32%\drivers\runtime.sys"
Type = "1"
Start = "3"

Es wird ein Dienst eingerichtet und ein Prozess in den Internet Explorer integriert.
Es wird versucht folgende IP Adressen auf Port 80 TCP zu erreichen:
66.246.72.173
67.18.114.98
208.66.194.241

Quelle: Pressemitteilung G DATA Software AG

Gern gelesene Artikel

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Weitere Videos
Termine
Kommende Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte rauher in folgendes Feld um den Spam-Filter zu umgehen

Oder nutzen sie unseren
News-Feed News-Feed
Anzeige