Pünktlich zum nächsten „Feiertag“ senden und die BotNetz-Betreiber den nächtsen Trojaner. Da weil sie fleißig sind und sich damit so viel Geld verdienen läßt, ist es wieder ein neuer, unbekannter Virus!
Dieses mal soll es also angeblich ein Valentinsgruß sein. Die Verbreiter haben auch dazugelernt und wer nun diese Seiten besucht, bekommt ein nettes Bildchen zu sehen und nach 5 Sekunden bieter sich automatisch die Datei valentine.exe zum Download an.
Die 119.809 Byte große Datei wird aktuell (12.2.2008) von fast keinem Scanner erkannt. Lediglich eSafe ist sie „verdächtig“ und F-Secure sowie Kaspersky nennen das Kind beim Namen: Packed.Win32.Tibs.ic. Sophos hat einen anderen Namen: W32/Dorf-AW.
Interessant daran ist, dass Packed.Win32.Tibs.i recht lange bekannt ist. Jeder Scanner sollte ihn erkennen.
Die Emails selbst haben Betreffs wie:
Thinking Of U All Day
You’re Super Sweet
Blind Love
Love Poem
I Love You
und sollen uns dann auf eine Webseite locken, die lediglich aus einer IP-Adresse besteht.
Threat Expert wird genauer. Dort ist die Bedrohung bekannt als Storm Worm bzw. CME-711/Peacomm/Nuwar/Zhelatin/Tibs. Zwei seltsame Dateien werden angelegt, anhand derer der Befall schon feststellbar ist:
%System%\diperto.ini (40,270 bytes)
%System%\diperto1205-67d5.sys
Auch in der Registry legt sich der Trojaner ab. Zum Besipiel als
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DIPERTO1205-67D5
Mehr dazu hier:
http://www.threatexpert.com/report.aspx?md5=f15f53c810a76d9413d11297516dec62
Update 12.2.:
Nachdem ich Avira ein Beispiel geschickt habe, erkennt Antivir die Bedrohung seit etwa 11:00 Uhr.