Verbreitung:
Schaden:

Der Wurm Tearec.AZ ist zurzeit per E-Mail unterwegs und lockt mit angeblichen Fotos im Anhang. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Bilder angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff – eine der folgenden:
   • Word file; eBook.pdf; the file; Part 1 of 6 Video clipe; You Must View
      This Videoclip!; Miss Lebanon 2006; Re: Sex Video; My photos; The Best
      Videoclip Ever; School girl fantasies gone bad; A Great Video; Fuckin
      Kama Sutra pics; Arab sex DSC-00465.jpg; give me a kiss; *Hot Movie*;
      Fw: Funny :); Fwd: Photo; Fwd: image.jpg; Fw: Sexy; Re:; Fw:; Fw:
      Picturs; Fw: DSC-00465.jpg
      Manchmal kann die Betreffzeile auch leer sein.

Der Dateiname des Anhangs ist einer der folgenden:
   • 007.pif; 04.pif; 392315089702606E-02,.scR; 677.pif; Adults_9,zip.sCR;
      Arab sex DSC-00465.jpg; ATT01.zip.sCR; Attachments[001],B64.sCr;
      Clipe,zip.sCr; document.pif; DSC-00465.Pif; DSC-00465.pIf;
      DSC-00465.Pif; DSC-00465.pIf; eBook.pdf; eBook.PIF; image04.pif;
      image04.pif; New Video,zip; New_Document_file.pif; photo.pif;
      Photos,zip.sCR; School.pif; SeX,zip.scR; Sex.mim; Video_part.mim;
      WinZip,zip.scR; WinZip.BHX; WinZip.zip.sCR; Word XP.zip.sCR;
      Word.zip.sCR

Größe des Dateianhangs: 94.154 Bytes

E-Mail-Text:
   • ----- forwarded message -----
   • ???????????????????????????? ????????????? ?????? ???????????
   • >> forwarded message
   • DSC-00465.jpg DSC-00466.jpg DSC-00467.jpg
   • forwarded message attached.
   • hello, i send the file. bye
   • hi i send the details bye
   • Hot XXX Yahoo Groups
   • how are you? i send the details. OK ?
   • i attached the details. Thank you
   • i just any one see my photos. It's Free :)
   • Note: forwarded message attached.
   • photo photo2 photo3
   • Please see the file.
   • VIDEOS! FREE! (US$ 0,00)
   • What?

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System: 

Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\Rundll16.exe
   • %SYSDIR%\scanregw.exe
   • C:\WINZIP_TMP.exe
   • %SYSDIR%\Update.exe
   • %SYSDIR%\Winzip.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Folgende Dateien werden überschreiben.
Die enthaltene Zeitsynchronisation löst bei folgendem Zeitpunkt aus: Wenn der Tag den folgenden Wert hat: 3

– %alle Verzeichnisse%

Dateiendungen:
   • .HTM
   • .DBX
   • .EML
   • .MSG
   • .OFT
   • .NWS
   • .VCF
   • .MBX

Mit folgendem Inhalt:
   • DATA Error [47 0F 94 93 F4 K5]

Folgende Dateien werden gelöscht:
   • %PROGRAM FILES%\DAP\*.dll
   • %PROGRAM FILES%\BearShare\*.dll
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003\*.exe
   • %PROGRAM FILES%\Symantec\Common Files\Symantec Shared\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.exe
   • %PROGRAM FILES%\Alwil Software\Avast4\*.exe
   • %PROGRAM FILES%\McAfee.com\VSO\*.exe
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.exe
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.exe
   • %PROGRAM FILES%\NavNT\*.exe
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
   • %PROGRAM FILES%\Grisoft\AVG7\*.dll
   • %PROGRAM FILES%\TREND MICRO\OfficeScan\*.dll
   • %PROGRAM FILES%\Trend Micro\OfficeScan Client\*.exe
   • %PROGRAM FILES%\LimeWire\LimeWire 4.2.6\LimeWire.jar
   • %PROGRAM FILES%\Morpheus\*.dll
   • %PROGRAM FILES%\CA\eTrust EZ Armor\eTrust EZ Antivirus\*.*
   • %PROGRAM FILES%\Common Files\symantec shared\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.*
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\*.*
   • %PROGRAM FILES%\McAfee.com\Agent\*.*
   • %PROGRAM FILES%\McAfee.com\shared\*.*
   • %PROGRAM FILES%\McAfee.com\VSO\*.*
   • %PROGRAM FILES%\NavNT\*.*
   • %PROGRAM FILES%\Norton AntiVirus\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus 6.0\*.*
   • %PROGRAM FILES%\Panda Software\Panda Antivirus Platinum\*.*
   • %PROGRAM FILES%\Symantec\LiveUpdate\*.*
   • %PROGRAM FILES%\Trend Micro\Internet Security\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2002\*.*
   • %PROGRAM FILES%\Trend Micro\PC-cillin 2003 \*.*

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScanRegistry = "scanregw.exe /scan"

Die Werte der folgenden Registryschlüssel werden gelöscht:

–  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • CleanUp
   • SECUR
   • NPROTECT
   • ccApp
   • ScriptBlocking
   • MCUpdateExe
   • VirusScan Online
   • MCAgentExe
   • VSOCheckTask
   • McRegWiz
   • MPFExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • McVsRte
   • PCClient.exe
   • PCCIOMON.exe
   • pccguide.exe
   • Pop3trap.exe
   • PccPfw
   • tmproxy
   • McAfeeVirusScanService
   • NAV Agent
   • PCCClient.exe
   • SSDPSRV
   • rtvscn95
   • defwatch
   • vptray
   • ScanInicio
   • APVXDWIN
   • KAVPersonal50
   • kaspersky
   • TM Outbreak Agent
   • AVG7_Run
   • AVG_CC
   • Avgserv9.exe
   • AVGW
   • AVG7_CC
   • AVG7_EMC
   • Vet Alert
   • VetTray
   • OfficeScanNT Monitor
   • avast!
   • PANDA
   • DownloadAccelerator
   • BearShare

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • Software\INTEL\LANDesk\VirusProtect6\CurrentVersion
   • SOFTWARE\Symantec\InstalledApps
   • SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
   • SOFTWARE\KasperskyLab\Components\101
   • SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe
   • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Neuer Wert:
   • "WebView"=dword:00000000
   • "ShowSuperHidden"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Neuer Wert:
   • "FullPath" = dword:00000001

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!