Wieder mal versuchen die Bot-Netz-Betreiber ihre Trojaner loszuwerden. Zuletzt haben Sie es mit angeblichen Grußkarten zum Valentinstag versucht. Jetzt ist mal wieder die Grußkartenmasche dran.
Immer die selbe Methode verwenden sie beim Verbreiten Ihrer Dateien. Eine Spam-Email lockt mit relativ primitiven Einzeilern zu einer IP-Adresse, statt zu einer Domain.
Beispiel:
Betreff: Ecard greeting inside
Text: Someone sent you this Funny Ecard. It is Hilarious! http://xxx.yyy.zzz.aaa/
Dieses Mal wird die Datei e-card.exe (Größe 121.345 Byte) verteilt. Besonders hinterhältig an der eigentlich recht primitiv gemachten Lockseite:
Sie gibt sich als der (unschuldige) ECard-Versender FunnyPostCard.com aus und versucht 5 Sekunden nach Betreten der Webseite, die Datei zu downloaden.
Der Trojaner selbst ist nicht so wahnsinnig gefährlich – vorausgesetzt, man benutzt einen aktuellen Virenscanner! Denn so ziemlich alle Virenkiller erkennen ihn als Variante des zumeist als „Zhelatin“ benannten Trojaners. Dieser Trojaner durchsucht den gesamten Computer nach Emailadressen und versendet wiederum verseuchte Emails an alle gefundenen Adressen.
Betreffs:
Your ecard joke is waiting
You have an ecard
We have a ecard surprise
Someone Just sent you an ecard
Did you open your ecard yet
ecard waiting for you
Open your ecard
new ecard waiting
Now this is funny
online greeting waiting
sent you an ecardMailtexte:
laughing Funny Card
You have been sent a Funny Postcard
You have been sent the Funny Ecard
original Funny Card
Someone Sent you this Funny Ecard
your funny postcard
original Funny Postcard
sent a Funny Postcard
personal funny postcard
FunnyPostcard
laughing funny postcard
Scan-Ergebnis bei Virustotal
AntiVir
Worm/Zhelatin.pc
AVG
I-Worm/Nuwar.N
BitDefender
Trojan.Peed.IWX
CAT-QuickHeal
Win32.Email-Worm.Zhelatin.vg
ClamAV
Trojan.Peed-130
DrWeb
Trojan.Packed.357
eSafe
Suspicious File
eTrust-Vet
Win32/Sintun!generic
Fortinet
W32/PackTibs.M
F-Prot
W32/Zhelatin.F.gen!Eldorado
F-Secure
Email-Worm.Win32.Zhelatin.vg
Ikarus
Trojan.Peed.IWV
Kaspersky
Email-Worm.Win32.Zhelatin.vg
McAfee
W32/Nuwar@MM
Microsoft
TrojanDropper:Win32/Nuwar.gen!B
NOD32v2
probably a variant of Win32/Nuwar.Gen
Sophos
W32/Dorf-AX
Symantec
Trojan.Peacomm
VBA32
Email-Worm.Win32.Zhelatin.vg
VirusBuster
Worm.DR.Zhelatin.Gen.4
Webwasher-Gateway
Worm.Zhelatin.pc
Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
Vielen, vielen Dank für die Hilfe.
Kommentar by Andreas — 21. Oktober 2013 @ 18:22
Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.
Kommentar by virenkiller — 21. Oktober 2013 @ 21:25
Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.
Kommentar by Andreas — 23. Oktober 2013 @ 07:58
Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.
http://www.virenkiller.de/onlinevirenscanner/
Kommentar by virenkiller — 23. Oktober 2013 @ 08:01
Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.
PS.: Ich finde virenkiller.de echt SUPER!!!
Kommentar by Andreas — 23. Oktober 2013 @ 09:31
Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
S.o.S!
Kommentar by Scully — 5. Januar 2014 @ 07:14
Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.
Kommentar by virenkiller — 5. Januar 2014 @ 12:13
Hallo virenkiller,
ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.
Kommentar by Anna — 4. Juni 2014 @ 16:34
Hallo Anna,
ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.
Kommentar by virenkiller — 4. Juni 2014 @ 18:27