27. März 2007
Viele Viren und Trojaner, aber auch eine Menge lästiger Programme, wie etwa das Startmodul von Quicktime, installieren sich ungefragt in den Autostart von Windows.
Ergebnis ist, dass diese Programm dann bei jedem Neustart mehr oder weniger unbemerkt gleich mitgestartet werden. Das stellt also einen folgenschweren Eingriff in die Ssystemsicherheit von Windows dar. Und trotzdem gibt das Betriebssystem darüber keine Meldung aus.
Werkzeuge wie das bekannte Tool Spambot Search & Destroy bringen auch gleich ein Überwachungsprogramm für die Autostarteinträge mit. Aber mag es an meinem Monitor liegen oder an Programmierfehlern: Dieses Teil meldet zwar brav alles, aber ich erreiche nicht mal die Buttons richtig. :-(
Da ist ein winziges und schon ziemlich altes Winzigtool doch wesentlich besser geeignet. Die Rede ist von Mike Lins Tool Startup Monitor.
Das kleine kostenlose Freeware-Programm installiert sich problemlos und überwacht fortan den Versuch jedes Programms und jeder Installation, sich selbst in die Autostartgruppe einzutragen. Ist das der Fall, so meldet sich der Startup Monitor und bietet an, diesen Eintrag zu verbieten oder zuzulassen.
Meiner Meinung nach gehört das zur Grundausstattung eines sicheren Rechners.
Zur Homepage
Kommentare deaktiviert für Autostartgruppe im Auge behalten
21. März 2007
Wenn man einen Virus einschleusen will, dann muss dieser ein paar Regeln erfüllen
- Er muß so neu sein, dass ihn keiner erkennt
- Er muß unverdächtig sein
- Er muß unbemerkt arbeiten
Diese Regeln erfüllt ein Virus, der jetzt auf meinem Testsystem aufgeschlagen ist.
Die 225.280 Byte große Datei trägt den harmlosen Namen svchost.exe. Diesen Namen trägt auch eine wichtige Systemdatei von Windows.
Sie legt sich ab unter C:\Windows\svchost.exe
Netter Versuch… aber korrekterweise gehört diese Datei ins Systemverzeichnis von Windows! Und nicht in den Windows-Hauptordner selbst.
Und dann trägt sich das Teil doch frecherweise in die Autostartgruppe ein…
Das machte den Virus verdächtig. Ebenfalls verdächtigt war dann, dass diese Datei so neu war, was das Erstellungsdatum betrifft. Sie sollte schon so alt wie Windows sein.
Virustotal jedenfalls schlug Alarm:
| Antivirus |
Version |
Update |
Result |
| AhnLab-V3 |
2007.3.22.0 |
03.21.2007 |
no virus found |
| AntiVir |
7.3.1.44 |
03.21.2007 |
no virus found |
| Authentium |
4.93.8 |
03.20.2007 |
no virus found |
| Avast |
4.7.936.0 |
03.21.2007 |
no virus found |
| AVG |
7.5.0.447 |
03.21.2007 |
no virus found |
| BitDefender |
7.2 |
03.21.2007 |
no virus found |
| CAT-QuickHeal |
9.00 |
03.20.2007 |
no virus found |
| ClamAV |
devel-20070312 |
03.21.2007 |
no virus found |
| DrWeb |
4.33 |
03.21.2007 |
no virus found |
| eSafe |
7.0.14.0 |
03.20.2007 |
no virus found |
| eTrust-Vet |
30.6.3497 |
03.21.2007 |
no virus found |
| Ewido |
4.0 |
03.21.2007 |
no virus found |
| FileAdvisor |
1 |
03.21.2007 |
no virus found |
| Fortinet |
2.85.0.0 |
03.21.2007 |
suspicious |
| F-Prot |
4.3.1.45 |
03.20.2007 |
no virus found |
| F-Secure |
6.70.13030.0 |
03.21.2007 |
W32/Malware.LZM |
| Ikarus |
T3.1.1.3 |
03.21.2007 |
no virus found |
| Kaspersky |
4.0.2.24 |
03.21.2007 |
no virus found |
| McAfee |
4988 |
03.20.2007 |
no virus found |
| Microsoft |
1.2306 |
03.21.2007 |
no virus found |
| NOD32v2 |
2132 |
03.21.2007 |
no virus found |
| Norman |
5.80.02 |
03.21.2007 |
W32/Malware.LZM |
| Panda |
9.0.0.4 |
03.21.2007 |
Suspicious file |
| Prevx1 |
V2 |
03.21.2007 |
no virus found |
| Sophos |
4.15.0 |
03.13.2007 |
no virus found |
| Sunbelt |
2.2.907.0 |
03.16.2007 |
VIPRE.Suspicious |
| Symantec |
10 |
03.21.2007 |
no virus found |
| TheHacker |
6.1.6.078 |
03.20.2007 |
no virus found |
| UNA |
1.83 |
03.16.2007 |
no virus found |
| VBA32 |
3.11.2 |
03.21.2007 |
no virus found |
| VirusBuster |
4.3.7:9 |
03.21.2007 |
no virus found |
| Webwasher-Gateway |
6.0.1 |
03.21.2007 |
Virus.Win32.FileInfector.gen (suspicious) |
| Aditional Information |
| File size: 225280 bytes |
| MD5: c182282c37890c6878a9304962d6d137 |
| SHA1: bf7a5e4b86c05510eca42b9f66276b381d028109 |
| Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
Jotti leider nicht so
| AntiVir |
Keine Viren gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Keine Viren gefunden
|
| AVG Antivirus |
Keine Viren gefunden
|
| BitDefender |
Keine Viren gefunden
|
| ClamAV |
Keine Viren gefunden
|
| Dr.Web |
Keine Viren gefunden
|
| F-Prot Antivirus |
Keine Viren gefunden
|
| F-Secure Anti-Virus |
Keine Viren gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Keine Viren gefunden
|
| NOD32 |
Keine Viren gefunden
|
| Norman Virus Control |
W32/Malware.LZM gefunden
|
| Panda Antivirus |
Keine Viren gefunden
|
| VirusBuster |
Keine Viren gefunden
|
| VBA32 |
Keine Viren gefunden
|
Und auch mein derzeitiger Scanner, Avast Free Edition, ließ die Datei gänzlich unbeeindruckt. (OK, das wird schnell geändert sein, ich habe ihnen den Virus geschickt).
Im Update werde ich Euch dann verraten, um was es sich handelt…
Kommentare deaktiviert für Virus C:\Windows\svchost.exe
Wieder mal versuchen die Bot-Netz-Betreiber, uns einen Trojaner mittels einer gefälschten Rechnung unterzujubeln.
Anhang: T-Com.zip
In der Zip-Datei befindet sich eine: Telekom.pdf.exe, die sich mit einem PDF-Icon zu tarnen versucht.
Jotti meint dazu:
| Telekom.pdf.exe |
| |
|
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
| Entdeckte Packprogramme: |
–
|
| |
| AntiVir |
TR/Dldr.iBill.AD gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Keine Viren gefunden
|
| AVG Antivirus |
Keine Viren gefunden
|
| BitDefender |
Trojan.Spy.BZub.II gefunden
|
| ClamAV |
Trojan.Downloader-3861 gefunden
|
| Dr.Web |
Keine Viren gefunden
|
| F-Prot Antivirus |
Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
|
| F-Secure Anti-Virus |
Trojan-Downloader:W32/Nurech.BE, Trojan-Spy.Win32.BZub.ii gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Trojan-Spy.Win32.BZub.ii gefunden
|
| NOD32 |
Win32/TrojanDownloader.Nurech.NAQ gefunden
|
| Norman Virus Control |
Keine Viren gefunden
|
| Panda Antivirus |
Keine Viren gefunden
|
| VirusBuster |
Trojan.DR.BZub.Gen.8 gefunden
|
| VBA32 |
Trojan-Spy.BZub.1 (paranoid heuristics) gefunden (mögliche Variante)
|
Kommentare deaktiviert für Trojaner in gefälschter Telekom Rechnung
7. März 2007
Und es reißt nicht ab, soeben schlug hier noch mehrfach eine neue gefälschte Rechnung auf und wurde uns auch von einem Leser parallel zugesandt.
Dieses Mal stellt angeblich die Firma Quelle eine Rechnung per Email.
Absender:
Quelle De is_as0@quelle.de
Betreff:
Ihre detaillierte Quelle Rechnung
Mailtext:
***************www.quelle.de***************
Wir bestätigen Ihnen den Eingang Ihrer Bestellung vom 06.03.2007 um 22:45 Uhr:
Vorgangs-ID: 771823464456
Verarbeitungscode: ART 3176537617401747810523221688853498812
Kundennummer: 885375869
——————————————————————————
Sehr geehrte Quelle Kunde,
vielen Dank für Ihre Bestellung bei www.quelle.de.
Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.
die Gesamtsumme fär Ihre Rechnung beträgt: 691,70 Euro (incl. Versandspesen: EUR 5,95)
Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.
Zahlungswunsch: Bankeinzug
Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
Ihre Rechnung ist im PDF-Format erstellt und mit einer „Digitalen Signatur“ unterzeichnet worden. Den entsprechenden
Verifikationsbericht finden Sie im Anhang dieser E-Mail.
Durch die „Digitale Signatur“ wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.
Es gelten die allgemeinen Geschäftsbedingungen der QUELLE GmbH
Informationen zum aktuellen Lieferstatus Ihrer Bestellung können Sie unter der Rubrik „Mein Konto/Bestellübersicht“ in Ihrem persönlichen Bereich abfragen. Bitte melden Sie sich hierfür einmalig an:
http://www.quelle.de/extern.cgi?id=771823464456
Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: http://www.adobe.de/products/acrobat/readstep2.html
Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
und die Signatur zu prüfen.
Ihr Quelle Online Team
——————————————————————————
Wir bedanken uns nochmals für Ihre Bestellung.
Schauen Sie doch bald wieder einmal bei www.quelle.de vorbei.
Bestätigungs-ID: 885375869 (für interne Zwecke)
Stempelkarte
Jetzt anmelden & profitieren!
http://www.quelle.de/extern.cgi?id=771823464456
www.quelle.de
Es hängt eine RAR-Datei namens Quelle_Rechnung_nqan117n.rar dran, die eine ausführbare Datei mit der Bezeichnung Quelleu6dDenfi64in.pdf.exe enthält.
Es erkennen diesen Trojaner noch nicht alle Scanner. Jotti meint dazu:
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
| Entdeckte Packprogramme: |
–
|
| |
| AntiVir |
TR/Dldr.iBill.Z gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Keine Viren gefunden
|
| AVG Antivirus |
Downloader.Generic3.VXR gefunden
|
| BitDefender |
Trojan.Downloader.Nurech.AO gefunden
|
| ClamAV |
Trojan.Downloader-1334 gefunden
|
| Dr.Web |
DLOADER.Trojan gefunden (mögliche Variante)
|
| F-Prot Antivirus |
Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
|
| F-Secure Anti-Virus |
Trojan-Downloader:W32/Nurech.BC gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Trojan-Downloader.Win32.Small.cig gefunden
|
| NOD32 |
Keine Viren gefunden
|
| Norman Virus Control |
Keine Viren gefunden
|
| Panda Antivirus |
Keine Viren gefunden
|
| VirusBuster |
Keine Viren gefunden
|
| VBA32 |
Trojan-Downloader.Agent.35 gefunden (mögliche Variante)
|
Kommentare deaktiviert für Virus in gefälschter Quelle-Rechnung
Und wieder versucht jemand, verschreckten Emailempfängern eine virenverseuchte Email unterzuschieben.
Dieses Mal handelt es sich um eine gefälschte Rechnung, die angeblich von Single.de bzw. Singel.de kommt. Der Absender scheint sich da selbst nicht so sicher zu sein. Jedenfalls lautet der Absender
Rechnung Singel.de
Das Betreff aber lautet:
Rechnung Single.de Anmeldung ID 34944
Im Text steht dann
Sehr geehrte Damen und Herren,
vielen Dank für Ihre Anmeldung bei www.single.de Sie haben Sich für unsere
kostenpflichtige Partnersuche
angemedet. 097 ,- Euro werden Ihrem Konto für ein Jahresvertrag zu
Last gelegt. Wir mailen Ihnen
alle Partnersuchende aus Ihrer Region zwei Mal wöchentlich zu. Entnehmen Sie
Ihre Rechnung und den Zugang
zu Ihrem Profil dem unten angeführten Anhang. Bitte diesen genauestens
durchlesen und bei einer
Unstimmigkeit uns kontaktieren. Zum Lesen wird kein zusätzliches Programm
benötigt.
Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung
durchgeführt wurde, führen Sie
unverzüglich, den in dem Anhang aufgeführten Abmeldevrogang aus. Der
Widerspruch ist nach unseren AGB’s
innerhalb von zwei Wochen schriftlich zulässig!
Eine Kopie der Rechnung wird Ihnen in den nächsten Tagen per Post
zugestellt.
Mit freundlichen Grüßen
Webpool GmbH
Aachener Straße 7
50674 Köln
Fax: 02 21 / 95 29 61-38
Amtsgericht Köln
HRB 30628
Geschäftsführung: Hejung Im, André Ferrier
Umsatzsteuer-ID: DE 195535258
Wie man sieht, hat der Absender Probleme mit den deutschen Umlauten.
An der Mail hängt ein Anhang namens 71311.zip, der eine Datei mit der Bezeichnung Rechnung-singel.de.pdf.exe enthält.
Mehrere aktuelle Virenscanner (wie etwa mein Avast) erkennen den Virus (Avast zum Beispiel als Trojaner Win32:Nurech-U)
Auch Jotti ist der Trojaner bekannt:
| Datei: |
Rechnung-singel.de.pdf.exe |
| Auslastung: |
|
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
| Entdeckte Packprogramme: |
–
|
| |
| AntiVir |
TR/Dldr.iBill.Y gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Win32:Nurech-U gefunden
|
| AVG Antivirus |
Keine Viren gefunden
|
| BitDefender |
Keine Viren gefunden
|
| ClamAV |
Trojan.Downloader-1334 gefunden
|
| Dr.Web |
Trojan.DownLoader.19265 gefunden
|
| F-Prot Antivirus |
Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
|
| F-Secure Anti-Virus |
Trojan-Downloader:W32/Nurech.AZ gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Trojan-Downloader.Win32.Nurech.az gefunden
|
| NOD32 |
Keine Viren gefunden
|
| Norman Virus Control |
Keine Viren gefunden
|
| Panda Antivirus |
Keine Viren gefunden
|
| VirusBuster |
Keine Viren gefunden
|
| VBA32 |
Trojan-Downloader.Agent.35 gefunden (mögliche Variante)
|
Kommentare deaktiviert für Gefälschte Rechnung von Single.de/Singel.de mit einem Trojaner/Virus
1. März 2007
Manchmal ist es Zeit, sich von Angewohnheiten, Schrullen und auch von Software zu trennen. Relativ lange habe ich mit der „Free Edition“ von Grisofts AVG gearbeitet. Ich habe diesen Virenkiller bekannteren Lösungen wie etwa Antivir vorgezogen, weil es sich im Test als wesentlich weniger resourcenfressend und rechnerverlangsamend zeigte.
Das allerdings, wie sich in letzter Zeit immer häufiger herausstellte, zum Preis höherer Rechnerunsicherheit. Es ist einfach so, dass AVG Free zwar brav und zuverlässig die klassischen Viren sucht und erkennt, allerdings der nichtzahlende Benutzer keinerlei Sicherheit vor Trojanern und anderer „Malware“ geboten bekommt. Das sind dann die sogenannten „Einschränkungen„. Damit kann man leben… sollte es allerdings besser nicht.
Nachdem die letzten Bedrohungen hier nur noch via Email kamen, etwa als gefälschte Rechnungen von IKEA und Amazon bzw. als angebliche Änderung der Emailadresse bei Ebay, war ich doch recht enttäuscht von AVG Free. Die dort anhängenden Trojaner wurden konsequent nicht entdeckt oder einfach ausgeklammert. Nachdem der klasische Virus eh auf dem Rückzug zu sein scheint, könnte ich in so einem Fall den Computer auch gänzlich ohne Schutz lassen… das will ich natürlich nicht.
Derzeit versuche ich es also mit der „Avast Home Edition„. Das Programm ist in der Home Edition für den nichtkommerziellen Einsatz kostenlos und – im Gegensatz zu AVG Free – auch als komplett deutschsprachige Version erhältlich. Um es für ein Jahr kostenlos nutzen zu dürfen, bedarf es der (kostenlosen) Registrierung. Die Updates erfolgen automatisch oder via Mausklick und sollen, glaubt man verschiedenen Internetseiten, recht zuverlässig und schnell folgen.
In der Benutzung ist das Programm einfach und, wie erste Test zeigten, auch zuverlässig. Nervig sind die Soundausgaben al la „Achtung, auf Ihrem Computer wurde ein Virus gefunden“ oder ähnlich informative Kommentare. Das kann man aber zum Glück abstellen.
Wie sich die Arbeit mit dem Programm in nächster zeit weiter gestaltet, werde ich hier als Update veröffentlichen.
Anbieter: http://www.avast.com
Download (alle Sprachen): http://www.avast.com/eng/download-avast-home.html
Update:
Mittlerweile teste ich weitere kostenlose Virenscanner. Testtagebuch hier
http://www.virenkiller.de/test-kostenloser-virenkiller/
Kommentare deaktiviert für Goodbye AVG Free! Hello Avast…