News

Kleiner Poltergeist: Trojaner "Meheerwar"

Der kleine Fiesling hat es sich zum Ziel gesetzt, den Computeruser gehörig zu nerven und dabei den Computer mit neuen Verzeichnissen voll zu spamen.

26.02.2006, 13:21 Uhr
Internet© Daniel Fleck / Fotolia.com

Da sitzt man mir-nichts-dir-nichts abends allein vor dem Computer und plötzlich öffnet sich auf magische Weise das CD-ROM-Laufwerk und schließt sich wieder - nicht nur einmal, sondern mehrmals. Dazu ändert sich auf einmal das Desktophintergrundbild. Das alles ist jedoch kein Spuk, sondern ein neuer Trojaner namens "Meheerwar".
PC-Terror made in Holland
Antiviren-Spezialist Micro World warnt vor dem neuen eher harmlosen kleinen Poltergeist, der in die PC-Konfiguration eingreift. Der scheinbar aus den Niederlanden kommende Schädling ist dabei eine reine Nervensäge. Ein neu erstelltes Hintergrundbild auf dem Desktop lässt den Benutzer wissen, wer auf seinem Computer wütet.
Zugespamt und leicht entnervt
Durch Eintragungen in der Registry und Systemdateien manipuliert Meheerwar das CD-ROM-Laufwerk, vertauscht die linke und rechte Maustaste und erstellt munter neue englische oder holländische Verzeichnisse auf dem Desktop. Außerdem legt er eine Ausführung seiner selbst bei jedem Windows-Start in der Registry fest.
Neben neuerstellten Dateien und Ordnern mit Titeln, wie "Call of Duty(R) 2 Singleplayer", "Holland" oder "Waarom open je virus", ändert die Malware die Startseite des Internet Explorers in 'http://www.mrx-server.com' , eine niederländische Seite, die augenblicklich den Hinweis 'suspended' zeigt. In die History der zuletzt besuchten Internet Explorer-Seiten trägt der nicht gewollte Störenfried gleich dreizehnmal die URL 'www.sex.nl' ein.
Merkmale von Meheerwar:
Wenn der Trojaner ausgeführt wird kopiert er sich selbst in die folgenden Dateien:
%System%winupdatecsrss.exe
%SystemDrive%Open me.exe
%SystemDrive%Del.exe
%SystemDrive%Winfile.exe
%SystemDrive%Msn.exe
%SystemDrive%msnpaint.exe
%SystemDrive%Notedpad.exe
%SystemDrive%Dont Delete me.exe
Um jedes Mal beim Windows-Start erneut ausgeführt zu werden ergänzt der Schädling in der Registry um die folgenden Einträge:
"Update" = "%System%winupdatecsrss.exe"
in dem Registry Key:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

(Philip Meyer-Bothling)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang