G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Diese Erkennung bezieht sich auf die Rootkit Komponente der Sirefef Trojaner Familie. Diese kopiert seine eigene .dll unter wechselnden Namen in das Windows System Verzeichnis (/WINDOWS/system32). Weitere Systemmodifikationen werden vorgenommen, um den Schadcode des Sirefef Trojaners zu verstecken, welcher primär Suchmaschinenergebnisse in Webbrowsern manipuliert. Die Intention dahinter: Der betroffene Benutzer soll durch den Klick auf die manipulierten Ergebnisse Geld in die Kassen der Angreifer spülen (pay per click Werbung).

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Es handelt sich um kostenlose Softwarepakete von Programmen, wie z.B. FLV Player, PDF Reader oder ähnliches, die nicht direkt vom Hersteller geladen werden, sondern von anderen Quellen und dort mit potentiell unerwünschten Zusätzen verpackt werden. Bei diesen Zusätzen handelt es sich zum Beispiel um Toolbars oder die Umstellung der Browser-Startseite, etc. Im aktuellen Fall soll eine Toolbar mitinstalliert werden.

Diese Erkennung bezieht sich auf die Rootkit Komponente der Sirefef Trojaner Familie. Diese kopiert seine eigene .dll unter wechselnden Namen in das Windows System Verzeichnis (/WINDOWS/system32). Weitere Systemmodifikationen werden vorgenommen, um den Schadcode des Sirefef Trojaners zu verstecken, welcher primär Suchmaschinenergebnisse in Webbrowsern manipuliert. Die Intention dahinter: Der betroffene Benutzer soll durch den Klick auf die manipulierten Ergebnisse Geld in die Kassen der Angreifer spülen (pay per click Werbung).

Als Iframe werden Webseiten erkannt, wenn ein IFRAME mit schädlichen Inhalten in die Webseite eingebunden wird. Der Besucher der Seite bemerkt davon nichts. Im Falle von Trojan.Iframe.ADD wurde schädlicher Code in die Dateien index.html, index.php und index.js eingefügt. Dieser Code identifiziert den Browser des Besuchers und die Versionnummer des Browser und fügt dann einen IFRAME mit den o.g. Eigenschaften ein.

Win32:DNSChanger-VJ [Trj] ist Teil eines Rootkits. Er versucht, andere Schadcode-Komponenten zu beschützen. Zum Beispiel blockt er den Zugang zu Webseiten mit Sicherheitsupdates oder auch Virensignatur-Updates. Jeder Versuch, eine solche Seite zu erreichen, wird zu "localhost" umgeleitet und macht die Webseite somit unerreichbar. Deswegen wird dieser Schadcode auch DNSChanger genannt, denn er manipuliert die DNS-Auflösung.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Ein Redirector leitet Besucher einer Webseite auf eine andere Zielseite. Das eigentliche Ziel ist üblicherweise mit JavaScript-Code verschleiert und wird vom Browser beim Aufruf der Seite berechnet. Der Redirector selbst stellt für das System keine Gefahr dar. Aber die Inhalte der Seiten auf die er verweist, können einen Rechner angreifen ohne, dass der Nutzer davon etwas bemerkt.

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Diese Erkennung bezieht sich auf die Rootkit Komponente der Sirefef Trojaner Familie. Diese kopiert seine eigene .dll unter wechselnden Namen in das Windows System Verzeichnis (/WINDOWS/system32). Weitere Systemmodifikationen werden vorgenommen, um den Schadcode des Sirefef Trojaners zu verstecken, welcher primär Suchmaschinenergebnisse in Webbrowsern manipuliert. Die Intention dahinter: Der betroffene Benutzer soll durch den Klick auf die manipulierten Ergebnisse Geld in die Kassen der Angreifer spülen (pay per click Werbung).

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Es handelt sich um kostenlose Softwarepakete von Programmen, wie z.B. FLV Player, PDF Reader oder ähnliches, die nicht direkt vom Hersteller geladen werden, sondern von anderen Quellen und dort mit potentiell unerwünschten Zusätzen verpackt werden. Bei diesen Zusätzen handelt es sich zum Beispiel um Toolbars oder die Umstellung der Browser-Startseite, etc. Im aktuellen Fall soll eine Toolbar mitinstalliert werden.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Diese Erkennung bezieht sich auf die Rootkit Komponente der Sirefef Trojaner Familie. Diese kopiert seine eigene .dll unter wechselnden Namen in das Windows System Verzeichnis (/WINDOWS/system32). Weitere Systemmodifikationen werden vorgenommen, um den Schadcode des Sirefef Trojaners zu verstecken, welcher primär Suchmaschinenergebnisse in Webbrowsern manipuliert. Die Intention dahinter: Der betroffene Benutzer soll durch den Klick auf die manipulierten Ergebnisse Geld in die Kassen der Angreifer spülen (pay per click Werbung).

Win32:Agent-ANTB [Trj] stiehlt Informationen vom befallenen System, z.B. Daten für Casino-Onlinespiele. Nach der Installation liest der Trojaner die externe IP des infizierten Systems aus und versucht außerdem, sich mit verschiedenen (IRC) Servern und Webseiten (Online-Spiele, Werbungsseiten, ...) zu verbinden.

Adware wird meist unbewusst installiert, als Teil von manipulierten Versionen legitimer Softwareprogramme wie z.B. dem DivX Player oder ähnlichen. Die verseuchte Software wird dabei nicht vom Original-Hersteller direkt geladen, sondern von anderen Quellen. Die manipulierten Versionen installieren im Fall von Win32.Adware.WSM ohne Zustimmung des Benutzers im Internet Explorer und auch im Browser Google Chrome Plug-Ins.

Iframe Detektionen treten vor allem dann auf, wenn in einer Webseite ein Iframe injiziert ist, der den Besucher der Webseite auf eine schädliche andere Seite weiterleiten möchte. Dies geschieht in der Regel für den Webseitenbesucher völlig unbemerkt. Im Fall von Trojan.Iframe.AAO werden Iframes detektiert, die u.a. auf Blackhole Exploit Kits verweisen.

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Win32:DNSChanger-VJ [Trj] ist Teil eines Rootkits. Er versucht, andere Schadcode-Komponenten zu beschützen. Zum Beispiel blockt er den Zugang zu Webseiten mit Sicherheitsupdates oder auch Virensignatur-Updates. Jeder Versuch, eine solche Seite zu erreichen, wird zu "localhost" umgeleitet und macht die Webseite somit unerreichbar. Deswegen wird dieser Schadcode auch DNSChanger genannt, denn er manipuliert die DNS-Auflösung.

Hierbei handelt es sich um einen Key-Generator. Sie sind sehr beliebt in P2P-Tauschbörsen und Warez-Seiten, weil man damit angeblich lizenzpflichtige Software freischalten kann. Dort findet man diese Programme am häufigsten. Ein Ausführen der Applikation ist nicht nur rechtlich bedenklich, sondern birgt auch weitere Sicherheitsrisiken.

Adware wird meist unbewusst installiert, als Teil von manipulierten Versionen legitimer Softwareprogramme wie z.B. dem DivX Player oder ähnlichen. Die verseuchte Software wird dabei nicht vom Original-Hersteller direkt geladen, sondern von anderen Quellen. Die manipulierten Versionen installieren im Fall von Win32.Adware.WSM ohne Zustimmung des Benutzers im Internet Explorer und auch im Browser Google Chrome Plug-Ins.

Diese Adware wird meist unbewusst installiert, als Teil von kostenlosen Softwarepaketen von Programmen wie z.B. VLC, XviD oder ähnliches, die nicht vom Hersteller geladen werden, sondern von anderen Quellen. Die vermeintlichen Sponsoren dieser aktuellen Software sind 'Clickpotato' und 'Hotbar'. Alle Pakete sind von einer „Pinball Corporation“ digital signiert und die Adware wird automatisch bei jedem Windows-Start gestartet und bindet sich als Systray-Icon ein.

Adware zählt zur Kategorie der potentiell unerwünschten Programme.
Adware.Hotbar.GG ist ein Browser Helper Object (BHO): eine "Smartshopper" Toolbar, "Shoppingreport" Toolbar oder ähnlich. Die Dateien sind digital signiert von "Pinball Corporation" oder teilweise auch "Smartshopper Technologies". Das besagte Browser Add-In stellt Preisvergleiche von Produkten an und bietet Sonderangebote von Partnern der Firma Pinball an.

Win32.Sality.3 ist ein Datei-Infektor und damit ein echter Virus. Er infiziert PE Dateien (ausführbare Programmdateien, wie zum Beispiel EXE oder SCR Dateien). Win32.Sality.3 installiert außerdem ein Rootkit und der abgesicherte Modus unter Windows funktioniert nach einer Infektion nicht mehr. Der abgesicherte Modus endet in einem Blue Screen. Außerdem deaktiviert Win32.Sality.3 die Windows Firewall, die Windows Update Mechanismen und auch Warnungen wegen fehlender oder veralteter Antiviren-Software.

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Diese Java-basierte Malware ist ein Download-Applet, das durch die Ausnutzung der Sicherheitslücke (CVE-2010-0840) versucht, Sandbox-Schutzmechanismen zu umgehen, um weitere Schädlinge auf den Rechner nachzuladen. Dadurch, dass das Applet die Sandbox austrickst, kann es eine .dll Datei herunterladen. Diese wird nicht direkt ausgeführt, sondern mit Hilfe des Microsoft Register Server (regsvr32) als Dienst in der Windows Registry eingetragen und somit beim Systemstart automatisch gestartet.

Win32:DNSChanger-VJ [Trj] ist Teil eines Rootkits. Er versucht, andere Schadcode-Komponenten zu beschützen. Zum Beispiel blockt er den Zugang zu Webseiten mit Sicherheitsupdates oder auch Virensignatur-Updates. Jeder Versuch, eine solche Seite zu erreichen, wird zu "localhost" umgeleitet und macht die Webseite somit unerreichbar. Deswegen wird dieser Schadcode auch DNSChanger genannt, denn er manipuliert die DNS-Auflösung.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Diese Detektion steht im Zusammenhang mit potentieller Auslieferung von Adware und wurde hauptsächlich bei Freehostern gefunden. Es wird die IP eines jeden Webseitenbesuchers darauf überprüft, ob der Besuchers innerhalb der vergangenen 30 Minuten schon diese Seite besucht hat. Ist dies nicht der Fall, initiiert der IFrame die Auslieferung von Werbung, welche potentiell infiziert sein kann.

Hierbei handelt es sich um einen Key-Generator. Sie sind sehr beliebt in P2P-Tauschbörsen und Warez-Seiten, weil man damit angeblich lizenzpflichtige Software freischalten kann. Dort findet man diese Programme am häufigsten. Ein Ausführen der Applikation ist nicht nur rechtlich bedenklich, sondern birgt auch weitere Sicherheitsrisiken.

Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

Gen:Variant.Kazy.45847 gehört zur Gruppe der Potentially Unwanted Programs (PUP), der potentiall unerwünschten Programme. Es ist eine .dll-Datei namens solidcore32.dll, die als Crack für das Computerspiel Anno 2070 benutzt wird. Die Modifikation der Spieledatei wird dabei als schädlich erkannt.

Diese Java-basierte Malware ist ein Download-Applet, das durch die Ausnutzung der Sicherheitslücke (CVE-2010-0840) versucht, Sandbox-Schutzmechanismen zu umgehen, um weitere Schädlinge auf den Rechner nachzuladen. Dadurch, dass das Applet die Sandbox austrickst, kann es eine .dll Datei herunterladen. Diese wird nicht direkt ausgeführt, sondern mit Hilfe des Microsoft Register Server (regsvr32) als Dienst in der Windows Registry eingetragen und somit beim Systemstart automatisch gestartet.

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Win32:DNSChanger-VJ [Trj] ist Teil eines Rootkits. Er versucht, andere Schadcode-Komponenten zu beschützen. Zum Beispiel blockt er den Zugang zu Webseiten mit Sicherheitsupdates oder auch Virensignatur-Updates. Jeder Versuch, eine solche Seite zu erreichen, wird zu "localhost" umgeleitet und macht die Webseite somit unerreichbar. Deswegen wird dieser Schadcode auch DNSChanger genannt, denn er manipuliert die DNS-Auflösung.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

Hierbei handelt es sich um einen Key-Generator. Sie sind sehr beliebt in P2P-Tauschbörsen und Warez-Seiten, weil man damit angeblich lizenzpflichtige Software freischalten kann. Dort findet man diese Programme am häufigsten. Ein Ausführen der Applikation ist nicht nur rechtlich bedenklich, sondern birgt auch weitere Sicherheitsrisiken.

Diese Adware wird meist unbewusst installiert, als Teil von kostenlosen Softwarepaketen von Programmen wie z.B. VLC, XviD oder ähnliches, die nicht vom Hersteller geladen werden, sondern von anderen Quellen. Die vermeintlichen Sponsoren dieser aktuellen Software sind 'Clickpotato' und 'Hotbar'. Alle Pakete sind von einer „Pinball Corporation“ digital signiert und die Adware wird automatisch bei jedem Windows-Start gestartet und bindet sich als Systray-Icon ein.

PDF:Exploit.JS.V ist ein auf JavaScript basierender Exploit (CVE-2010-0188) gegen den Adobe Reader Versionen 8 (< 8.21) und 9 (< 9.31). Das schädliche PDF enthält ein verschleiertes JavaScript, das dafür sorgt, dass innerhalb des Acrobat Reader Prozesses willkürlich Code ausgeführt werden kann. Der Shellcode kann willkürlich Dateien von einem Webserver nach %TEMP% nachladen und danach ausführen, wobei dieser nachgeladenen Code potentiell jeglicher Schadcode sein kann.

Generic.Adware.Adseo.7722145B ist, wie der Name andeutet, eine generische Erkennung. Adware zählt zur Kategorie der potentiell unerwünschten Programme. Bei der Installation diverser Freeware installiert sich neben dem eigentlich gewünschten Programm häufig auch Zusatzsoftware – die „nicht installieren“ Option wird von Nutzern häufig übersehen. Dies passiert hauptsächlich dann, wenn die Software nicht vom Hersteller geladen wird, sondern von Drittanbietern.

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Generic.Adware.Adseo.38E3FFEE ist, wie der Name andeutet, eine genrische Erkennung. Adware zählt zur Kategorie der potentiell unerwünschten Programme. Bei der Installation diverser Freeware installiert sich neben dem eigentlich gewünschten Programm häufig auch Zusatzsoftware – die „nicht installieren“ Option wird von Nutzern häufig übersehen. Dies passiert hauptsächlich dann, wenn die Software nicht vom Hersteller geladen wird, sondern von Drittanbietern.

Dieser Schädling steht im Zusammenhang mit einem Webseiten-Angebot für Erotik-Inhalte. Zwei unsichtbare Iframes werden in die Webseite eingebettet, um weitere Schädlinge von einer anderen Domain in die vom Benutzer aufgerufene Seite zu integrieren. Zum einen wird somit die eigentliche Quelle der Schädlinge verschleiert und zum andern können Cybercriminelle immer wechselnden/neuen Schadcode verbreiten, ohne dafür die infizierende Seite ändern zu müssen.

Dieser Trojaner ist ein manipuliertes Java-Applet, das auf Webseiten zu finden ist. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

Diese Java-basierte Malware ist ein Download-Applet, das durch die Ausnutzung der Sicherheitslücke (CVE-2010-0840) versucht, Sandbox-Schutzmechanismen zu umgehen, um weitere Schädlinge auf den Rechner nachzuladen. Dadurch, dass das Applet die Sandbox austrickst, kann es eine .dll Datei herunterladen. Diese wird nicht direkt ausgeführt, sondern mit Hilfe des Microsoft Register Server (regsvr32) als Dienst in der Windows Registry eingetragen und somit beim Systemstart automatisch gestartet.

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

Generic.Adware.Adseo.7722145B ist, wie der Name andeutet, eine generische Erkennung. Adware zählt zur Kategorie der potentiell unerwünschten Programme. Bei der Installation diverser Freeware installiert sich neben dem eigentlich gewünschten Programm häufig auch Zusatzsoftware – die „nicht installieren“ Option wird von Nutzern häufig übersehen. Dies passiert hauptsächlich dann, wenn die Software nicht vom Hersteller geladen wird, sondern von Drittanbietern.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Generic.Adware.Adseo.38E3FFEE ist, wie der Name andeutet, eine genrische Erkennung. Adware zählt zur Kategorie der potentiell unerwünschten Programme. Bei der Installation diverser Freeware installiert sich neben dem eigentlich gewünschten Programm häufig auch Zusatzsoftware – die „nicht installieren“ Option wird von Nutzern häufig übersehen. Dies passiert hauptsächlich dann, wenn die Software nicht vom Hersteller geladen wird, sondern von Drittanbietern.

Diese Java-basierte Malware ist ein Download-Applet, das durch eine Sicherheitslücke (CVE-2010-0840) versucht, Sandbox-Schutzmechanismen zu umgehen, um weitere Schädlinge auf den Rechner nachzuladen. Dadurch, dass das Applet die Sandbox austrickst, kann es eine .dll Datei herunterladen und sie als ActiveX Komponente registrieren.

Diese Adware wird meist unbewusst installiert, als Teil von kostenlosen Softwarepaketen von Programmen wie z.B. VLC, XviD oder ähnliches, die nicht vom Hersteller geladen werden, sondern von anderen Quellen. Die vermeintlichen Sponsoren dieser aktuellen Software sind 'Clickpotato' und 'Hotbar'. Alle Pakete sind von einer „Pinball Corporation“ digital signiert und die Adware wird automatisch bei jedem Windows-Start gestartet und bindet sich als Systray-Icon ein.

Adware zählt zur Kategorie der potentiell unerwünschten Programme.
Adware.Hotbar.GG ist ein Browser Helper Object (BHO): eine "Smartshopper" Toolbar, "Shoppingreport" Toolbar oder ähnlich. Die Dateien sind digital signiert von "Pinball Corporation" oder teilweise auch "Smartshopper Technologies". Das besagte Browser Add-In stellt Preisvergleiche von Produkten an und bietet Sonderangebote von Partnern der Firma Pinball an.

Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

Adware wird meist unbewusst installiert, als Teil von kostenlosen Softwarepaketen von Programmen wie z.B. VLC, XviD oder ähnliches, die nicht vom Hersteller geladen werden, sondern von anderen Quellen.
Adware.Agent.NGZ ist ein simples Programm. Es verbirgt sich in kostenlosen Tutorials zu populären Programmen und öffnet bei jeder Browsernutzung eine Werbeseite auf ads.eorezo.com, die dem Betreiber vermutlich bei jedem Klick Geld einbringt. Adware.Agent.NGZ ist ein Nachfolger von Adware.Agent.NFT, der die aufzurufende URL anders verarbeitet.

Diese Adware wird meist unbewusst installiert, als Teil von kostenlosen Softwarepaketen von Programmen wie z.B. VLC, XviD oder ähnliches, die nicht vom Hersteller geladen werden, sondern von anderen Quellen. Die vermeintlichen Sponsoren dieser aktuellen Software sind 'Clickpotato' und 'Hotbar'. Alle Pakete sind von einer „Pinball Corporation“ digital signiert und die Adware wird automatisch bei jedem Windows-Start gestartet und bindet sich als Systray-Icon ein.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Adware wird meist unbewusst installiert, als Teil von kostenlosen Softwarepaketen von Programmen wie z.B. VLC, XviD oder ähnliches, die nicht vom Hersteller geladen werden, sondern von anderen Quellen.
Adware.Agent.NFT verbirgt sich z.B. in kostenlosen Tutorials zu populären Programmen und öffnet bei jeder Browsernutzung eine Werbeseite auf ads.eorezo.com, die dem Betreiber vermutlich bei jedem Klick Geld einbringt.

Dieser Exploit nutzt die in CVE-2010-0094 beschriebene Sicherheitslücke in der Java Laufzeitumgebung aus. Gelingt der Exploit, können Angreifer die Java Sandbox Beschränkungen umgehen und es kann bösartiger Code ausgeführt werden, der dann z.B. den Download von weiterem Schadcode auslöst. Die Gefahr lauert in manipulierten Java-Applets, die häufig in Webseiten eingebunden sind.

Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

JS:Downloader-AUY [Trj] ist ein verschleiertes JavaScript, das als Auslöser für anderen Schadcode, hauptsächlich Exploits, gilt.
JS:Downloader-AUY war schon Teil einer "Schadcode-Kette". Sie startet mit diesem oder einem anderen JS:Downloader, der vom Browser ausgeführt wird. Er packt den obfuskierten HTML-Code aus, der dann vom Webbrowser interpretiert wird und ein schädliches Java Applet herunterlädt. Dieses Applet enthält einen Exploit, z.B. den in CVE-2010-0840 beschriebenen. Gelingt dieser Exploit, können Angreifer die Java Sandbox Beschränkungen umgehen und es kann bösartiger Code ausgeführt werden, der dann den Download von weiterem Schadcode auslöst, z.B. FakeAV, Arten von Banking-Trojanern, Ransomware oder ähnliches.

Dieser Exploit nutzt eine fehlerhafte Überprüfung von .lnk und .pif Dateien bei der Verarbeitung von Windows-Shortcuts aus und ist bereits seit Mitte 2010 als CVE-2010-2568 bekannt. Sobald eine manipulierte Version dieser Dateien von Windows geöffnet wird, um das enthaltene Icon im Windows Explorer anzuzeigen, wird automatisch eigener Programmcode vom Angreifer ausgeführt. Dieser Code kann entweder vom lokalen Dateisystem (zB.: von dem Wechseldatenträger auf dem ebenfalls die manipulierte .lnk Datei liegt) oder aber per WebDAV-Freigabe über das Internet nachgeladen werden.

Dieser Trojaner gibt vor, eine normale .wma Audiodatei zu sein, welche aber nur nach Installation eines speziellen Codecs/Decoders auf Windows-Systemen abgespielt werden kann. Wird die Datei vom Anwender ausgeführt, kann der Angreifer jeglichen Schadcode auf dem System installieren. Die infizierten Audiodateien verbreiten sich hauptsächlich über Tauschbörsen.

Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

Diese Adware wird meist unbewusst installiert, als Teil von kostenlosen Softwarepaketen von Programmen wie z.B. VLC, XviD oder ähnliches, die nicht vom Hersteller geladen werden, sondern von anderen Quellen. Die vermeintlichen Sponsoren dieser aktuellen Software sind 'Clickpotato' und 'Hotbar'. Alle Pakete sind von einer „Pinball Corporation“ digital signiert und die Adware wird automatisch bei jedem Windows-Start gestartet und bindet sich als Systray-Icon ein.

Win32.Ramnit.N ist ein klassischer Datei-Infektor, der ausführbare Dataien (.exe), dynamische Bibliotheken (.dll) und auf der Festplatte gespeicherte HTML-Dateien infiziert. Nach der Ausführung einer infizierten .exe-Datei / Laden einer infizierten .dll-Datei wird eine weitere .exe Datei (der Hauptinfektor) auf den Rechner abgelegt. Zusätzlich wird ein Autostart-Eintrag angelegt, um diese abgelegte Datei bei jedem Neustart wieder zu starten. Der Infektor verbindet sich per http oder https zu einigen Servern. Das Kommunikationsprotoll weicht aber vom Standard ab.
Der Infektor durchsucht regelmäßig jeden lokalen Ordner auf der Festplatte und infiziert einige, wenn auch nicht alle, .exe-Dateien, .dll-Dateien und HTML-Dateien mit einem Dropper. Dieser kopiert den gleichen Datei-Infektor, wie die ursprünglich infizierte Datei. Infizierte HTML-Dateien enthalten ein VB-Skript , das den Infektor kopiert, wenn ein Nutzer die Webseite im IE Browser öffnet, jedoch fragt der IE schon ab Version 6.0, ob das Skript wirklich ausgeführt werden soll.

Dieser Exploit nutzt die in CVE-2010-0094 beschriebene Sicherheitslücke in der Java Laufzeitumgebung aus. Gelingt der Exploit, können Angreifer die Java Sandbox Beschränkungen umgehen und es kann bösartiger Code ausgeführt werden, der dann z.B. den Download von weiterem Schadcode auslöst. Die Gefahr lauert in manipulierten Java-Applets, die häufig in Webseiten eingebunden sind.

Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

Win32.Ramnit.C ist ein klassischer Datei-Infektor, der ausführbare Dataien (.exe), dynamische Bibliotheken (.dll) und auf der Festplatte gespeicherte HTML-Dateien infiziert. Nach der Ausführung einer infizierten .exe-Datei / Laden einer infizierten .dll-Datei wird eine weitere .exe Datei (der Hauptinfektor) auf den Rechner abgelegt. Zusätzlich wird ein Autostart-Eintrag angelegt, um diese abgelegte Datei bei jedem Neustart wieder zu starten. Der Infektor verbindet sich per http oder https zu einigen Servern. Das Kommunikationsprotoll weicht aber vom Standard ab.

Der Infektor durchsucht regelmäßig jeden lokalen Ordner auf der Festplatte und infiziert einige, wenn auch nicht alle, .exe-Dateien, .dll-Dateien und HTML-Dateien mit einem Dropper. Dieser kopiert den gleichen Datei-Infektor, wie die ursprünglich infizierte Datei. Infizierte HTML-Dateien enthalten ein VB-Skript , das den Infektor kopiert, wenn ein Nutzer die Webseite im IE Browser öffnet, jedoch fragt der IE schon ab Version 6.0, ob das Skript wirklich ausgeführt werden soll.

Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche, ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um aus der Java-Sandbox auszubrechen und Daten auf dem System zu schreiben.