Virenkiller.de

Die Doofen sterben nie aus…

Das wissen auch die Verbreiter von Trojanern und deshalb senden Sie uns eine Email, mit pornografischem Locktext und einem Anhang mit dem Namen video.zip (17.424. Byte). Diese enthält den angeblichen Bildschirmschoner video.scr (29.184 Byte).

Virustotal und alle gängigen Virenkiller kennen die Bedrohung:

AhnLab-V3 2008.1.26.10 2008.01.25 –
AntiVir 7.6.0.53 2008.01.25 TR/Dropper.Gen
Authentium 4.93.8 2008.01.25 W32/Trojan2.UDL
Avast 4.7.1098.0 2008.01.25 –
AVG 7.5.0.516 2008.01.25 SHeur.AOUK
BitDefender 7.2 2008.01.25 Trojan.Peed.IUH
CAT-QuickHeal 9.00 2008.01.25 –
ClamAV 0.91.2 2008.01.25 –
DrWeb 4.44.0.09170 2008.01.25 Trojan.MulDrop.10487
eSafe 7.0.15.0 2008.01.16 –
eTrust-Vet 31.3.5484 2008.01.25 –
Ewido 4.0 2008.01.25 –
FileAdvisor 1 2008.01.25 –
Fortinet 3.14.0.0 2008.01.25 –
F-Prot 4.4.2.54 2008.01.25 W32/Trojan2.UDL
F-Secure 6.70.13260.0 2008.01.25 Trojan:W32/Agent.EFO
Ikarus T3.1.1.20 2008.01.25 Win32.Outbreak
Kaspersky 7.0.0.125 2008.01.25 Trojan-Downloader.Win32.Agent.hzc
McAfee 5215 2008.01.24 –
Microsoft 1.3109 2008.01.25 –
NOD32v2 2823 2008.01.25 –
Norman 5.80.02 2008.01.24 –
Panda 9.0.0.4 2008.01.25 Trj/Spammer.ADX
Prevx1 V2 2008.01.25 Heuristic: Suspicious Hijacker
Rising 20.28.41.00 2008.01.25 –
Sophos 4.25.0 2008.01.25 Troj/Pushdo-Gen
Sunbelt 2.2.907.0 2008.01.25 –
Symantec 10 2008.01.25 Trojan.Pandex
TheHacker 6.2.9.197 2008.01.25 –
VBA32 3.12.2.5 2008.01.21 –
VirusBuster 4.3.26:9 2008.01.25 Trojan.DR.Pandex.Gen.4
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Dropper.Gen

 Tipp: Schädel einschalten!

Wenn eine Email damit lockt, dass Harry Potter es Angelina Jolie in ihren dicken A…. besorgt und das mit einem Video von 17 KB Größe dokumentieren will – kann das wohl stimmen?

Na also!

Kaum ist für die Virenverbreiter „das Weihnachchtsgeschäft“ vorbei, machen sie mit einem neuen Trojaner als Liebesbrief weiter.

withlove.exe heißt die Datei, die von denselben Verursachern verbreitet wird.

Dieses mal haben sie keine viel versprechenden Domains gekauft, sondern verteilen ihre Trojaner über einfache IPs. Wieder findet sich im Quelltext ein Verweis auf Dateinamen wie fck2008.exe und fck2009.exe

Spammails mit Texten wie

Hugging My Pillow http://111.222.333.444/
I Would Dream http://111.222.333.444/ (IPs von virenkiller.de geändert)

versuchen Sie Dumme auf Ihre Seiten zu locken.

Dort steht auch nicht besonders viel.

Ein Herz und darunter:
Your download should begin shortly. If your download does not start
in 10-20 seconds, you can

click here to launch the download
and then press Run. Enjoy!

Der Trojaner scheint relativ neu, kaum jemand erkennt ihn.

Jotti meint dazu:

BitDefender  Trojan.Peed.ITB gefunden 
NOD32  a variant of Win32/Nuwar gefunden

Etwas mehr erkennt Virustotal:

BitDefender 7.2 2008.01.16 Trojan.Peed.ITB
NOD32v2 2795 2008.01.16 a variant of Win32/Nuwar
Prevx1 V2 2008.01.16 Stormy:All Strains-All Variants
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)

Tipps von Virenkiller:

1. Niemals solche Seiten ansurfen. Sie könnten demnächst auch mit Exploits gespickt sein.
2. Diese Dateien nie downloaden. Bezähmen Sie ihre Neugier
3. Melden Sie sich bei unserem Newsletter an, um früh genug von diesen Bedrohungen zu erfahren.

Update 16.1.2008

• Nachdem ich ihn zugesandt habe, erkennt Antivir den Schädling seit etwa 11:00 Uhr.
• Kaspersky muss weiterhin passen
• AVG erkennt ihn
• BitDefender erkennt ihn
• ClamAV und FProt versagen
• GDate versagt mal wieder online, wird ihn aber erkenne, weil es ja die Kaspersky-Engine benutzt.
• NOD und Sophos erkennen ihn, Norman und Panda nicht.

Update 18.1.2008

Es gibt eine neue Version des Trojaners, 115.201 Byte groß.
Name ist weiterhin withlove.exe
Kaspersky (GData), McAfee, Fprot, Antivir erkennen ihn nicht.

Hier die Liste der Scanner, die ihn laut Virustotal erkennen:
AVG 7.5.0.516 2008.01.18 I-Worm/Nuwar.L
BitDefender 7.2 2008.01.18 Trojan.Peed.ITK
ClamAV 0.91.2 2008.01.18 Trojan.Small-4843
Fortinet 3.14.0.0 2008.01.18 W32/PackTibs.L
F-Secure 6.70.13260.0 2008.01.18 Suspicious:W32/Malware!Gemini
Microsoft 1.3109 2008.01.18 TrojanDropper:Win32/Nuwar.gen!A
Prevx1 V2 2008.01.18 Stormy:Worm-All Variants
Symantec 10 2008.01.18 Trojan.Peacomm.D
Webwasher-Gateway 6.6.2 2008.01.18 Win32.Malware.gen!88 (suspicious)

Legt folgende Dateien im System ab:
%System%\burito.ini
%System%\burito5e84-1216.sys 

Verändert Registry-Schlüssel
(Nach BURITO5E84 suchen)

Trend Micro verschenkt derzeit ein kleines Tool, welches das übliche Verhalten von Bots erkennen und dieses Verhindern soll. Unter dem Namen RUBotted kann man das Tool downloaden.

http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted

Wo Du wolle?

Wie einstmal Ützwurst, der türkische Taxifahrer, fragt das Programm nach der Installation ständig, wohin der Datenverkehr will. Dabei werden sowohl einkommender wie ausgehender Verkehr überwacht.

Sobald ein Programm beispielsweise die typischen Verhaltensweisen von Massenmailern an den Tag legen, schaltet sich RUBotted ein. Ebenso etwa, wenn jemand von außen versucht, dem Rechner Steuersignale aufzudrängen.

Eigentlich tut RUBotted also nicht viel anderes, als schon die Firewall. Doch in diesem Fall warnt das Programm nicht nur bei verdächtigen Vorkommnissen, es bietet auch gleich an, den Onlinevirenscanner „Trend Micro HouseCall“ aufzurufen, um den Computer einer Sicherheitsüberprüfung zu unterziehen.

Zum Download:
http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted

Paypalkunden sollen verlockt werden auf einer in Dänemark liegenden Seite namens palupdate.dk ihre Paypaldaten einzugeben.

Sollte das klappen, ist es für die Verbrecher sicher genauso lohnend, wie in ein Bankkonto einzubrechen. Mit dem Unterschied, dass keine weiteren Sicherheitssperren wie TANs etc. existieren.

VORSICHT: Script!

Man kann davon ausgehen, dass diese Seite auch „virenverseucht“ ist und mithilfe eines sogenannten „Cross-Site-Scripting“ Versuchs (XSS) versucht, Besucher der Seite über Browserlücken anzugreifen, um etwa einen Trojaner zu installieren. Auf jeden Fall gibt Firefox entsprechende Warnungen aus!

Betreff der Mail:
Neu PayPal-Sicherheits-Center 2008

Mailtext:

Neu PayPal-Sicherheits-Center 2008.
Guten Tag,

Die PayPal Sicherheitsabteilung hat ein neues Datenschutzsystem entwickelt.Da zur Zeit die Betrügereien mit den PayPal-Konten von unseren Kunden häufig geworden sind, müssen wir notgedrungn nachträglich eine zusätzliche Autorisation von den PayPal-Kontobesitzern durchführen.
Der Sicherheitsdienst der PayPal traf die Entscheidung,eine neue Sicherung von den Datenvorzunehmen.Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-übertragung, als auch die Kodierungsart der übertragenen Daten erneuert.
Der Vorgang ist jedoch noch nicht abgeschlossen.
Sie müssen auf den Link unten klicken und Ihr Passwort auf der folgenden Seite eingeben, um diese E-Mail-Adresse zu bestätigen.

Klicken Sie hier, um Ihre E-Mail-Adresse zu bestätigen

Sie können Ihre E-Mail-Adresse auch bestätigen, indem Sie sich unter https://www.paypal.com/de/ in Ihr PayPal-Konto einloggen.
Vielen Dank, dass Sie sich für PayPal entschieden haben.
Ihr PayPal-Team

Angeblicher Besitzer ist ein Pelle Schmidt mit einer Postfachadresse.

Virenkiller.de-Rat:

1. Auf keinen Fall ansurfen! Unterdrücken Sie Ihre Neugier!
2. Besorgen Sie sich einen sicheren Browser (Firefox-Download befindet sich rechts im Menü von www.virenkiller.de)
3. Tragen Sie sich in unseren Virennewsletter ein.

Mit einem weihnachtlichen Gruß und einer angeblich anhängenden Weihnachtskarte versucht sich ein kleiner Trojaner im Januar 2008 zu verbreiten.

Immerhin: In Japan kursierte diese Mail bereits um Weihnachten herum – nicht dass die Japaner Weihnachten feierten… :-)

Mailtext:
Good Day, dear!

Jane sent you eCard with greetings.
Check your attachment ;)
Merry Christmas!

Best Regards.

Daran hängt eine ZIP-Datei mit dem Namen eCard.exe, die nur 16.892 Byte groß ist und ihrerseits die Datei eCard.exe enthält (18.160 Byte)

Jotti und Virustotal erkennen den Virusbefall, aber eben leider nicht alle Scanner.

Analyse von Virustotal:
http://www.virustotal.com/de/analisis/53afd7f6894492eeba7706e47316f284

Analyse von Jotti

A-Squared  Keine Viren gefunden
AntiVir  Keine Viren gefunden
ArcaVir  Trojan.Pakes.Byc gefunden 
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Trojan.Pandex.AC gefunden 
ClamAV  Trojan-Small gefunden 
CPsecure  Keine Viren gefunden
Dr.Web  BackDoor.Bulknet.118 gefunden 
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Trojan.Win32.Pakes.byc gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Virus.Trojan.Win32.Pakes.byc gefunden 
Kaspersky Anti-Virus  Trojan.Win32.Pakes.byc gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Rising Antivirus  Keine Viren gefunden
Sophos Antivirus  Troj/Pushdo-F gefunden 
VirusBuster  Trojan.DR.Pandex.Gen.4 gefunden 
VBA32  Keine Viren gefunden

Das Jahr hat gerade begonnen und schon versucht man wieder, Sparkassenkunden die Zugangsdaten zu klauen.

Betreff:
Anleitung (nachrichtenzahl: hv89498592n)

Text der Mail:
Sehr geehrter Kunde, sehr geehrte Kundin,

Die Technische Abteilung der Sparkasse führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.

Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.

http://sparkasse.de/datenbank/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455

Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.

=================================================

© sparkasse.de 2007. Alle Rechte vorbehalten.

4XCT: 0x6315, 0x77, 0x87763137, 0x3280, 0x24, 0x80261008, 0x69, 0x3, 0x8 E8W function define 0x98, 0x0, 0x060, 0x560, 0x70026067, 0x97223230, 0x18680233, 0x0220 revision: 0x1, 0x93, 0x93, 0x624 7885: 0x0, 0x6803, 0x41795341, 0x28, 0x4539, 0x43108747, 0x38831787, 0x34346765, 0x0, 0x23334535, 0x6174, 0x6757 0x8, 0x031, 0x515, 0x88754971, 0x01, 0x7, 0x1256, 0x18, 0x2, 0x6, 0x1, 0x84175762 HY7C: 0x82, 0x07, 0x026, 0x985, 0x92965103, 0x4839, 0x84746818, 0x3, 0x65489813 rcs: 0x983, 0x1372, 0x93 7KQ: 0x6, 0x29520312, 0x4, 0x5615, 0x317

0x759, 0x63377769, 0x36, 0x83092159, 0x69, 0x2, 0x9, 0x58320156, 0x18, 0x578, 0x30, 0x63287570, 0x63, 0x96 0x5519, 0x4473, 0x125, 0x6, 0x35, 0x18, 0x6220, 0x1, 0x09339475, 0x0433, 0x48, 0x59783264, 0x336, 0x8176 include: 0x5708, 0x372 source revision CJSQ dec: 0x4, 0x54631848, 0x3, 0x43325787, 0x325, 0x9, 0x043, 0x09782923 0x035, 0x1, 0x151, 0x17, 0x577, 0x22144808, 0x63 NLJ, revision 5UI, tmp. hex: 0x16892796, 0x756, 0x99707437, 0x676, 0x8326, 0x5175, 0x2, 0x92, 0x2102 rcs: 0x4, 0x3567, 0x4, 0x9803, 0x3, 0x2, 0x3, 0x5, 0x29341735, 0x80, 0x22, 0x0459 0x1, 0x5197, 0x87734237, 0x5244, 0x76795692, 0x98602962, 0x463, 0x287, 0x83

0N4: 0x254, 0x0578, 0x81, 0x1680, 0x141, 0x9415, 0x9744 media: 0x86950362, 0x16441593, 0x0, 0x76, 0x71105520, 0x53647734, 0x705, 0x3536, 0x26084869 0x64, 0x935, 0x4, 0x344, 0x1109, 0x565, 0x086, 0x7624, 0x469, 0x8831, 0x42420734, 0x2, 0x99, 0x4630, 0x3 create: 0x98447281, 0x313, 0x1, 0x855, 0x9 api I812 ZX5L 3SR CY12 Z5IG AIOF revision NUChex: 0x8, 0x402, 0x2218, 0x25 hex: 0x8960, 0x9842, 0x3, 0x0, 0x4, 0x2, 0x76608189, 0x755, 0x42222397, 0x36854223, 0x29491868, 0x1794 KJ2Y: 0x54, 0x2, 0x05350041, 0x75988467, 0x71417153 CHD, 3M2, P3TV. 0x168, 0x8, 0x4749, 0x6359, 0x4, 0x9, 0x9728, 0x76, 0x6, 0x658, 0x879, 0x19454437, 0x5264

Das es sich um eine Mail im HTML-Format handelt, versteckt sie den tatsächlichen Link. Dieser verweist auf:

http://sparkasse.de.datenbank.kjhds5.cn/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455

also auf die Domain kjhds5.cn, eine chinesische Adresse!

Es präsentiert sich dann eine auf den ersten Blick einleuchtende, aber eigentlich primitiv gemachte Seite, die den Besucher auffordert, seine sämtlichen verbleibenden TAN-Nummern einzugeben.

Offensichtlich hapert es bei den Verursachen mit der deutschen Sprache, denn auf der Seite steht sie abenteuerliche Satzkonstruktion:

Wir bitten Sie, alle obligatorischen Felder auszufüllen. Wenn Sie ein obligatorisches Feld frei lassen, wird ein Hinweis angezeigt, in dem Sie aufgeführt werden, die fehlenden Felder auszufüllen.

Tipps von Virenkiller.de

1. Schalten Sie in Ihrem Emailprogramm die Funktion der HTML-Anzeige ab!
2. Nutzen Sie einen Browser mit Funktion gegen Phishing, wie etwa Firefox (Link rechts in der Menüspalte)

Derzeit versuchen wieder einige Virenverbreiter, den Anlass des Jahreswechsels dazu zu verwenden, ihre Trojaner in der Welt zu verbreiten.

Dieses Mal haben sie sich einige „passende Domains“ gesichert, um angebliche elektronische Neujahrspostkarten zu versenden, hinter denen sich aber in Wirklichkeit ein Trojaner verbirgt.

Unter Domainnamen wie

uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
freshcards2008.com

Update

Neu hinzugekommen:
http://hohoho2008.com/ mit happy_2008.exe
http://hellosanta2008.com
http://parentscards.com
http://santapcards.com/

Und täglich kommen neue Domains für den Sturm-Trojaner hinzu:
http://merrychristmasdude.com/ (3.1.2007)
http://santawishes2008.com/ (4.1.2007)
http://HAPPY2008TOYOU.COM (4.1.2008)
http://postcards-2008.com (4.1.2008)

verbreiten Sie die Dateien mit Namen wie:

happy-2008.exe
happynewyear2008.exe
jeweils 143.873 Byte groß

Auskommentiert auf den Webseiten sind auch Namen wie
fck2008.exe und fck2009.exe

Viele Scanner erkennen die Gefahr bereits und identifizieren den Virus als

TR/Crypt.XDR.Gen
W32/Dropper.gen6
Win32:Zhelatin-ASX
W32/Tibs.G@mm

Die Domains selbst haben gar keinen Inhalt außer einem englischsprahigen Hinweis

Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!

Auch die Emails sind sehr primitiv. Das Betreff lautet beispielsweise „Message for new year“ und der Inhalt:

As you embrace another new year
xxxx://newyearcards2008.com/

Update 30.12.2007:
Es wird eine neue version der Mail verschickt, die etwas mehr „personalisiert“ wurde, indem man dem Spruch als Anrede die Emailadresse des Empfängers hinzufügt.

Happy New Year To name@emailadresse.tld!
http://freshcards2008.com/

Jotti meint dazu:

A-Squared: Keine Viren gefunden
AntiVir: TR/Crypt.XDR.Gen gefunden:
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Dropper.Generic.TNQ gefunden:
BitDefender: Trojan.Peed.IRM gefunden:
ClamAV: Keine Viren gefunden
CPsecure: Keine Viren gefunden
Dr.Web: Trojan.Spambot.2556 gefunden:
F-Prot Antivirus: Keine Viren gefunden
F-Secure Anti-Virus: Email-Worm:W32/Zhelatin.PS gefunden:
Fortinet: Keine Viren gefunden
Ikarus: Keine Viren gefunden
Kaspersky Anti-Virus: Email-Worm.Win32.Zhelatin.pv gefunden:
NOD32: Win32/Nuwar.BE gefunden:
Norman Virus Control: Keine Viren gefunden
Panda Antivirus: Keine Viren gefunden
Rising Antivirus: Keine Viren gefunden
Sophos Antivirus: Mal/Dorf-H gefunden:
VirusBuster: Trojan.DL.Tibs.JO gefunden:
VBA32: Keine Viren gefunden

Und der Onlinescan?

Bei Virustotal und Jotti erkennen den Virus die meisten Scanner. Auch von den Scannern auf unserer Seite http://www.virenkiller.de/onlinevirenscanner erkennen Ihn – bis auf Norman(!) – alle zuverlässig.

Update

Auf der Seite http://www.threatexpert.com/report.aspx?uid=1c717d77-f5ea-4627-86fe-dc164d924dab gibt es eine ziemlich gute Analyse des Verhaltens dieses Trojaners. Insbesondere auch der Dateien, die noch angelegt werden, wie oriieke7cb3f68.sys und oriieke.ini.

Drauf gekommen bin ich durch das totale Versagen des Norman-Scanners, der zwar immerhin feststellt, dass diese Dateien angelegt werden, daraus aber auch am 4.1. noch keinerlei Schlüsse auf Malware zieht :-)