Die Doofen sterben nie aus…
Das wissen auch die Verbreiter von Trojanern und deshalb senden Sie uns eine Email, mit pornografischem Locktext und einem Anhang mit dem Namen video.zip (17.424. Byte). Diese enthält den angeblichen Bildschirmschoner video.scr (29.184 Byte).
Virustotal und alle gängigen Virenkiller kennen die Bedrohung:
AhnLab-V3 2008.1.26.10 2008.01.25 -
AntiVir 7.6.0.53 2008.01.25 TR/Dropper.Gen
Authentium 4.93.8 2008.01.25 W32/Trojan2.UDL
Avast 4.7.1098.0 2008.01.25 -
AVG 7.5.0.516 2008.01.25 SHeur.AOUK
BitDefender 7.2 2008.01.25 Trojan.Peed.IUH
CAT-QuickHeal 9.00 2008.01.25 -
ClamAV 0.91.2 2008.01.25 -
DrWeb 4.44.0.09170 2008.01.25 Trojan.MulDrop.10487
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5484 2008.01.25 -
Ewido 4.0 2008.01.25 -
FileAdvisor 1 2008.01.25 -
Fortinet 3.14.0.0 2008.01.25 -
F-Prot 4.4.2.54 2008.01.25 W32/Trojan2.UDL
F-Secure 6.70.13260.0 2008.01.25 Trojan:W32/Agent.EFO
Ikarus T3.1.1.20 2008.01.25 Win32.Outbreak
Kaspersky 7.0.0.125 2008.01.25 Trojan-Downloader.Win32.Agent.hzc
McAfee 5215 2008.01.24 -
Microsoft 1.3109 2008.01.25 -
NOD32v2 2823 2008.01.25 -
Norman 5.80.02 2008.01.24 -
Panda 9.0.0.4 2008.01.25 Trj/Spammer.ADX
Prevx1 V2 2008.01.25 Heuristic: Suspicious Hijacker
Rising 20.28.41.00 2008.01.25 -
Sophos 4.25.0 2008.01.25 Troj/Pushdo-Gen
Sunbelt 2.2.907.0 2008.01.25 -
Symantec 10 2008.01.25 Trojan.Pandex
TheHacker 6.2.9.197 2008.01.25 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.25 Trojan.DR.Pandex.Gen.4
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Dropper.Gen
Tipp: Schädel einschalten!
Wenn eine Email damit lockt, dass Harry Potter es Angelina Jolie in ihren dicken A…. besorgt und das mit einem Video von 17 KB Größe dokumentieren will – kann das wohl stimmen?
Na also!
Kaum ist für die Virenverbreiter “das Weihnachchtsgeschäft” vorbei, machen sie mit einem neuen Trojaner als Liebesbrief weiter.
withlove.exe heißt die Datei, die von denselben Verursachern verbreitet wird.
Dieses mal haben sie keine viel versprechenden Domains gekauft, sondern verteilen ihre Trojaner über einfache IPs. Wieder findet sich im Quelltext ein Verweis auf Dateinamen wie
Spammails mit Texten wie
Hugging My Pillow http://111.222.333.444/
I Would Dream http://111.222.333.444/ (IPs von virenkiller.de geändert)
versuchen Sie Dumme auf Ihre Seiten zu locken.
Dort steht auch nicht besonders viel.
Ein Herz und darunter:
Your download should begin shortly. If your download does not start
in 10-20 seconds, you can
click here to launch the download
and then press Run. Enjoy!
Der Trojaner scheint relativ neu, kaum jemand erkennt ihn.
Jotti meint dazu:
BitDefender Trojan.Peed.ITB gefunden
NOD32 a variant of Win32/Nuwar gefunden
Etwas mehr erkennt Virustotal:
BitDefender 7.2 2008.01.16 Trojan.Peed.ITB
NOD32v2 2795 2008.01.16 a variant of Win32/Nuwar
Prevx1 V2 2008.01.16 Stormy:All Strains-All Variants
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)
Tipps von Virenkiller:
-
Niemals solche Seiten ansurfen. Sie könnten demnächst auch mit Exploits gespickt sein.
-
Diese Dateien nie downloaden. Bezähmen Sie ihre Neugier
-
Update 16.1.2008
- Nachdem ich ihn zugesandt habe, erkennt Antivir den Schädling seit etwa 11:00 Uhr.
- Kaspersky muss weiterhin passen
- AVG erkennt ihn
- BitDefender erkennt ihn
- ClamAV und FProt versagen
- GDate versagt mal wieder online, wird ihn aber erkenne, weil es ja die Kaspersky-Engine benutzt.
- NOD und Sophos erkennen ihn, Norman und Panda nicht.
Update 18.1.2008
Es gibt eine neue Version des Trojaners, 115.201 Byte groß.
Name ist weiterhin withlove.exe
Kaspersky (GData), McAfee, Fprot, Antivir erkennen ihn nicht.
Hier die Liste der Scanner, die ihn laut Virustotal erkennen:
AVG 7.5.0.516 2008.01.18 I-Worm/Nuwar.L
BitDefender 7.2 2008.01.18 Trojan.Peed.ITK
ClamAV 0.91.2 2008.01.18 Trojan.Small-4843
Fortinet 3.14.0.0 2008.01.18 W32/PackTibs.L
F-Secure 6.70.13260.0 2008.01.18 Suspicious:W32/Malware!Gemini
Microsoft 1.3109 2008.01.18 TrojanDropper:Win32/Nuwar.gen!A
Prevx1 V2 2008.01.18 Stormy:Worm-All Variants
Symantec 10 2008.01.18 Trojan.Peacomm.D
Webwasher-Gateway 6.6.2 2008.01.18 Win32.Malware.gen!88 (suspicious)
Legt folgende Dateien im System ab:
%System%\burito.ini
%System%\burito5e84-1216.sys
Verändert Registry-Schlüssel
(Nach BURITO5E84 suchen)
Trend Micro verschenkt derzeit ein kleines Tool, welches das übliche Verhalten von Bots erkennen und dieses Verhindern soll. Unter dem Namen RUBotted kann man das Tool downloaden.
http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted
Wo Du wolle?
Wie einstmal Ützwurst, der türkische Taxifahrer, fragt das Programm nach der Installation ständig, wohin der Datenverkehr will. Dabei werden sowohl einkommender wie ausgehender Verkehr überwacht.
Sobald ein Programm beispielsweise die typischen Verhaltensweisen von Massenmailern an den Tag legen, schaltet sich RUBotted ein. Ebenso etwa, wenn jemand von außen versucht, dem Rechner Steuersignale aufzudrängen.
Eigentlich tut RUBotted also nicht viel anderes, als schon die Firewall. Doch in diesem Fall warnt das Programm nicht nur bei verdächtigen Vorkommnissen, es bietet auch gleich an, den Onlinevirenscanner “Trend Micro HouseCall” aufzurufen, um den Computer einer Sicherheitsüberprüfung zu unterziehen.
Zum Download:
http://www.trendsecure.com/portal/en-US/tools/security_tools/rubotted
