Virenverbreiter setzen auf die verschiedensten Beweggründe, um die Wahrscheinlichkeit eines Aufrufs Ihrer Viren zu erhöhen. Manche bekommt man durch Sexversprechen (Paris Hilton Nude Video), andere durch angeblich notwendige Updates Ihrer Officeprogramme.
Letzteres versuchen die Täter, welche derzeit versuchen ihren Trojaner unters Volk und auf die Computer zu bringen.
So erreicht das Opfer eine Mail, die angeblich von „Antivirus XP“ stammt. Das allein ist ja eigentlich schon dämlich! Denn das Betreff der Mail lautet:
RE: ® Official Update 2008!
Fassen wir zusammen: Ein angebliches Office-Update wird von „Antivirus XP“ abgsendet… Absender ist IHRE eigene Emailadresse!
Wer da noch nicht stutzig wird, den erwartet die nächste Überraschung. Die Mails selbst ist ganz simpel, aber vielleicht gerade deswegen eher vertrauenserweckend.
Free Update Windows XP,Vista (Link von uns entfernt!)
About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the „Unsubscribe“ link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers‘ content nor any of the goods or service advertised. Prices and item availability subject to change without notice.
©2008 Microsoft | Unsubscribe | More Newsletters | Privacy
Der Link geht auf eine Server-IP-Adresse und bietet uns eine Programmdatei namens install.exe an. (199.168 Byte)
Zum Glück erkennen die namhaften Scanner die Bedrohung fast alle. (Mal abgesehen von Norman, Panda, McAffee, ClamAV, FProt, Gdata und Avast).
Startet man den Trojaner, so erwartet einen eines der bekannten blauen Windows-Fehlerfenster. Ein gefälschter Trojaneralarm ersetzt das Hintergrundbild von Windows. Unter anderen versuchen die Verbreiter, den Kauf eines Antivirenprogramms anzukurbeln. Oft ist erst DAS die eigentliche Bedrohung.
Der Trojaner legt u.a. folgende Dateien an:
%System%\lphc35dj0erc1.exe
%System%\blphc35dj0erc1.scr
%System%\blphc35dj0erc1.scr
%System%\lphc35dj0erc1.exe
%System%\phc35dj0erc1.bmp
%System%\Restore\MachineGuid.txt
Umfangreiche Einträge in der Registry runden den Befall ab. Außerden wird Schadcode aus dem Internet nachgeladen.
Microsoft nennt den Trojaner „Win32/Tibs.HP“
Virustotal sagt dazu
AntiVir – – TR/Peed.jsb.33
AVG – – Downloader.Generic7.AIDZ
BitDefender – – Trojan.Peed.JSB
CAT-QuickHeal – – (Suspicious) – DNAScan
eSafe – – Suspicious File
Fortinet – – W32/FakeAle.GD!tr
Ikarus – – Win32.SuspectCrc
Kaspersky – – Backdoor.Win32.Agent.qby
Microsoft – – Trojan:Win32/Tibs.HP
NOD32v2 – – Win32/TrojanDownloader.FakeAlert.HJ
Prevx1 – – Malicious Software
Sophos – – Troj/FakeAle-GD
Sunbelt – – Antivirus XP 2008 (Winifixer)
Symantec – – Trojan.Blusod
TrendMicro – – TROJ_FAKEAV.GL
Webwasher-Gateway – – Trojan.Peed.jsb.33
Jotti findet
AntiVir TR/Peed.jsb.33 gefunden
ArcaVir Trojan.Agent.Qby gefunden
AVG Antivirus Downloader.Generic7.AIDZ gefunden
BitDefender Trojan.Peed.JSB gefunden
F-Secure Anti-Virus Backdoor:W32/Agent.DGG, Backdoor.Win32.Agent.qby gefunden
Fortinet W32/FakeAle.GD!tr gefunden (mögliche Variante)
Ikarus Win32.SuspectCrc gefunden
Kaspersky Anti-Virus Backdoor.Win32.Agent.qby gefunden
NOD32 Win32/TrojanDownloader.FakeAlert.HJ gefunden
Sophos Antivirus Troj/FakeAle-GD gefunden
Newsletter
Und wie immer gibt es solche Meldungen kostenlos in meinem Antivirus-Newsletter.
Die Virenverbreiter versuchen es mal wieder mit dem guten, alten Postkartentrick:
Good day.
You have received an eCard
To pick up your eCard, choose from any of the following options:
Click on the following link (or copy & paste it into your web browser):
http://domainnamegeloescht.be/e-card.exe
Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!
We hope you enjoy you eCard.
Thank You!
http://www.greetingcard.org
Kaum zu glauben, dass noch Leute so blöde sein sollen, auf diesen Trick hereinzufallen. Aber es ist ebenfalls unglaublich, dass nacj wie vor nicht jeder Virenscanner das Teil erkennt.
Immer wird eine Datei namens e-card.exe (238.592 Byte) auf einer gehackten Domain abgelegt und auf diese Datei wird direkt verlinkt.
Laut den Analysen enthält das Teil einen Keylogger, der Tastenanschläge mitprotokolliert. Außerdem lädt es Programmcode aus dem Internet nach und verbreitet sich selbst über das Netzwerk.
Folgende Dateien werden angelegt:
.tt2.tmp
.ttA3.tmp
emails.dat.z
.tt2.tmp.vbs
svchost.exe (Das Original wird überschrieben!)
emails.dat
log.dat
blphc35dj0erc1.scr
lphc35dj0erc1.exe
phc35dj0erc1.bmp
MachineGuid.txt
Und im Tempverzeichnis: finder.exe
Bei Virustotal erkennen ihn nur 15 von 36 Scannern, bei Jotti nur 10 Scanner. AntiVir, Norman, ClamAV, Dr. Web, MacAffee und Panda versagen u.a. komplett!
Und wie immer gibt es solche Meldungen kostenlos in meinem Antivirus-Newsletter.
Ein neuer Versuch, Trojaner zu verbreiten, tarnt sich als angebliche Email von Microsoft. Und um es gleich zu sagen: Die Erkennungsraten sind jämmerlich. 4-5 Scanner erkennen die Bedrohung (siehe Liste unten).
Scheinbar wundert sich niemand darüber, wenn von Microsoft eine Email mit dem Betreff
Download Free
ankommt darüber, woher MS diese Emailadresse überhaupt hat. Noch seltsamer ist, dass als angeblicher Absender admin@microsoft.com fungiert, die eigentliche Absenderadresse aber mit der Empfängeradresse identisch ist.
Die Mail ist nicht besonders phantasievoll gemacht. Und anders als die Versuche der letzten Zeit lenkt sie den Empfänger auch nicht auf eine vorbereitete Webseite (die noch einen unsichtbaren IFrame mit einem Exploit enthält), sondern sie bietet einen direkten Download einer Datei namens IE-7.0.exe (130.048 Byte groß)
Der Text der Email:
Download the latest version Internet Explorer 7.0!
About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the „Unsubscribe“ link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers‘ content nor any of the goods or service advertised. Prices and item availability subject to change without notice.
Analyse
Jotti findet 4 Viren:
ArcaVir Heur.W32 gefunden
Ikarus Trojan-Downloader.Win32.Renos.AQ gefunden
Norman Virus Control Smalltroj.gen22 gefunden
Sophos Antivirus Mal/EncPk-CZ gefunden
Virustotal immerhin schon 5
CAT-QuickHeal 9.50 2008.08.12 (Suspicious) – DNAScan
eSafe 7.0.17.0 2008.08.12 Suspicious File
Ikarus T3.1.1.34.0 2008.08.13 Trojan-Downloader.Win32.Renos.AQ
Norman 5.80.02 2008.08.12 Smalltroj.gen22
Sophos 4.32.0 2008.08.13 Mal/EncPk-CZ
Es soll ja immer noch Leute geben, die so blöde sind, auf so etwas hereinzufallen…
Da erreicht uns eine Email, die mit ihrer interessanten Betreffzeile oder im Text brisante Sexvideos verspricht.
Da heißt es etwa:
mpeg4 Full for naubaddy
Liv Tyler Interesting video with a naked celebrity!!! READ MORE…
Paris Hilton Scandal Home Video!
Manchmal enthält die Mail einen Link zu einem direkten Download, mit Dateinamen wie "Paris-nude-video.avi.exe". Manchmal führt sie zu gehackten Seiten und zeigt nur das obige Bild – versucht aber gleichzeitig eine Datei zu downloaden ("video_xxx7546.exe").
Die Webseiten enthalten auch noch einen verdächtigen Iframe von 1 Pixel Größe, mit dem versucht wird, den Browser hinterrücks zu infizieren.
Aber immer handelt es sich dabei um einen Virus / Trojaner!
Im großen und ganzen handelt es sich um einen alten Bekannten aus der Zlob/Nuwar-Familie. Viele Scanner erkennen die Bedrohung.
Das Ding legt im Windowsverzeichnis eine neue Datei an und lädt aus dem Netz Schadcode nach – CbEvtSvc.exe
Es verändert die Registrierungsdatenbank von Windows
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000\Control
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Security
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum
Hinweis!
99,9% aller Viren/Trojaner lassen sich abwehren, in dem man seinen Verstand benutzt! Wenn Sie eine solche Email erhalten, von einer ihnen völlig unbekannten brasilianischen Emailadresse, warum folgen Sie auch noch dem Link? Oder ist sie vertrauenswürdiger, wenn Sie selbst der Absender sind?
Man weiß ja nie, was man des nachts im Schlaf so treibt, hmm? Und Suppe wird mit der Gabel gegessen…
Bei solchen Mails heißt es:
- Finger weg! Löschen!
- Keinem Link folgen, keine Webseiten öffnen, keine Dateien downloaden.
Jotti sagt dazu:
A-Squared Keine Viren gefunden
AntiVir TR/Crypt.XPACK.Gen gefunden
ArcaVir Trojan.Downloader.Zlob.Tna gefunden
Avast Win32:PrefPoly gefunden
AVG Antivirus I-Worm/Nuwar.V gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Troj.W32.Agent.wsg gefunden
Dr.Web Trojan.DownLoad.3248 gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Trojan.Win32.Agent.wsg gefunden
Fortinet Keine Viren gefunden
Ikarus Trojan.Win32.Agent.wsg gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.wsg gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Mal/EncPk-DA gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
Und Virustotal vermeldet
AhnLab-V3 2008.7.29.1 2008.08.01 –
AntiVir 7.8.1.15 2008.08.01 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.31 –
Avast 4.8.1195.0 2008.07.31 Win32:PrefPoly
AVG 8.0.0.156 2008.07.31 I-Worm/Nuwar.V
BitDefender 7.2 2008.08.01 –
CAT-QuickHeal 9.50 2008.07.31 Trojan.Agent.wsg
ClamAV 0.93.1 2008.08.01 –
DrWeb 4.44.0.09170 2008.07.31 Trojan.DownLoad.3248
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5999 2008.07.31 Win32/Collet!generic
Ewido 4.0 2008.07.31 –
F-Prot 4.4.4.56 2008.07.31 –
F-Secure 7.60.13501.0 2008.08.01 Trojan.Win32.Agent.wsg
Fortinet 3.14.0.0 2008.08.01 W32/Agent.WSG!tr
GData 2.0.7306.1023 2008.08.01 Trojan.Win32.Agent.wsg
Ikarus T3.1.1.34.0 2008.08.01 Trojan.Win32.Agent.wsg
Kaspersky 7.0.0.125 2008.08.01 Trojan.Win32.Agent.wsg
McAfee 5351 2008.07.31 –
Microsoft 1.3704 2008.07.28 –
NOD32v2 3316 2008.07.31 –
Norman 5.80.02 2008.07.31 –
Panda 9.0.0.4 2008.08.01 –
PCTools 4.4.2.0 2008.08.01 –
Prevx1 V2 2008.08.01 Malware Dropper
Rising 20.55.40.00 2008.08.01 –
Sophos 4.31.0 2008.08.01 Mal/TibsPak
Sunbelt 3.1.1537.1 2008.08.01 Trojan.Crypt.XPACK.Gen
Symantec 10 2008.08.01 –
TheHacker 6.2.96.391 2008.07.31 –
TrendMicro 8.700.0.1004 2008.08.01 –
VBA32 3.12.8.2 2008.07.31 –
ViRobot 2008.7.31.1319 2008.07.31 –
VirusBuster 4.5.11.0 2008.07.31 –
Webwasher-Gateway 6.6.2 2008.08.01 Trojan.Crypt.XPACK.Gen
Achtung!
Solche Warnungen gibt es aktuell und kostenlos in meinem Viren-Newsletter