Hauptgruppierung: TrojWare
Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.
Kategorie: Trojan
Ein bösartiges Programm, das entwickelt wurde, um die Aktivitäten des Benutzers elektronisch auszuspionieren (Tastatureingaben abfangen, Screenshots erstellen, eine Liste aktiver Anwendungen aufzeichnen usw.). Die gesammelten Informationen werden auf verschiedene Arten an den Cyberkriminellen gesendet, einschließlich E-Mail, FTP und HTTP (indem Daten in einer Anfrage gesendet werden).Mehr Informationen
Plattform: VBS
Visual Basic Scripting Edition (VBScript) ist eine Skriptsprache, die von Windows Script Host interpretiert wird. VBScript wird häufig zum Erstellen von Skripten unter Microsoft Windows-Betriebssystemen verwendet.Beschreibung
Technische Details
Carewmr ist ein gefährliches Trojaner-Programm, geschrieben in der VBS-Sprache. Es löscht den Inhalt des Verzeichnisses "C: Windows".
Wenn das Trojanerprogramm ausgeführt wird, zeigt es die folgenden Nachrichten an:
"Willkommen bei CLRAV von Kasperskys, drücken Sie OK oder Akzeptieren, um mit dem Scannen Ihres Computers zu beginnen.""FEHLER !, Code-Fehler: 3212552, bitte führen Sie dieses Tool in MS-DOS."
"Danke, dass Sie die Produkte von Kasperskys bevorzugen"
"Carewmr" öffnet dann die Website "http: www.avp.ru" im Standard-Internetbrowser.
Am 1. September zeigt das Trojanerprogramm die Nachricht an:
"Mr.Carew vuelve otra vez !!, jaja"
Es entfernt auch die folgenden Registrierungsschlüssel:
"HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunSystemTray" "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunAVPCC" "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunNAVW32" "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunTrueVector" "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunZoneAlarm Pro"
"Carewmr" erstellt dann mehrere Dateien und Verzeichnisse, wie unten aufgeführt.
Dateien erstellt:
"C: Norton2003isbad_preferKAVORAVP"
"C: AVP"
"C: NAV"
"C: CHILE"
"C: TEMUCO"
"C: MCAFEE"
"C: ENTELPCS"
"C: GSM1900MHZ"
"C: SONYERICSSON"
"C: SORGFÄLTIG_WHIT_ME"
"C: IHR_PC_IS_VERY_BAD"
"C: Ich hasse MELINA"
"C: VBS.CarewMR.a"
"C: Windows ist ein echter Virus?"
"C: MELINA_TE_ODIO_MUERETE!"
"C: Windows XP"
"C: Windows3.11"
"C: Windows98SE"
"C: WindowsME"
"C: Windows 95"
"C: Windows NT"
"C: Windows2000"
"C: TELLCELL SA"
"C: PORN"
"C: ORAL_SEX"
"C: BIN_LADEN_FUCKYOU"
"C: ICQ"
"C: PANDA"
"C: NOD32"
"C: TREND"
"C: PC-CILLIN"
"C: AvpM.exe"
"C: Kaspersky_AntiVirus_PersonalPRO_THEBEST !!!!!"
"C: Norton_thePOOR"
"C: Madonna_Sucking_my_dick.avi"
"C: Your_system_is_infected_by_a_virus_jajajajajajaja.jajajaja"
"C: THE_HEURISTIC_OF_NORTON_IS_VERY_BAD_AND_PRODUCE: POSITIVES-FALESES"
Verzeichnisse erstellt:
"C: Symantec"
"C: KasperskyLabs"
"C: PandaSoftware"
"C: TrendMicro"
"C: Eset-Nod-gefickt"
Als Nächstes erstellt der Trojaner eine Textdatei namens CLRAV_Report.log mit folgendem Inhalt:
"Aufgrund eines Fehlers, Code-Fehler: 3212552, hat CLRAV Ihren Computer nicht desinfiziert."
"Für Support senden Sie bitte eine E-Mail an support@kaspersky.com und geben Sie bitte den Code-Fehler an."
Derzeit wird berichtet, dass dieses Trojanerprogramm "in freier Wildbahn" ist.
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com