Virenkiller.de

1. August 2008

Angebliche Sexvideos von Stars enthalten Trojaner

Category: Exploits,Spam,trojaner,Virenwarnung – virenkiller – 12:57

sexvideoEs soll ja immer noch Leute geben, die so blöde sind, auf so etwas hereinzufallen…

Da erreicht uns eine Email, die mit ihrer interessanten Betreffzeile oder im Text brisante Sexvideos verspricht.

Da heißt es etwa:

mpeg4 Full for naubaddy
Liv Tyler Interesting video with a naked celebrity!!! READ MORE…

Paris Hilton Scandal Home Video!

Manchmal enthält die Mail einen Link zu einem direkten Download, mit Dateinamen wie "Paris-nude-video.avi.exe". Manchmal führt sie zu gehackten Seiten und zeigt nur das obige Bild – versucht aber gleichzeitig eine Datei zu downloaden ("video_xxx7546.exe").

Die Webseiten enthalten auch noch einen verdächtigen Iframe von 1 Pixel Größe, mit dem versucht wird, den Browser hinterrücks zu infizieren.

Aber immer handelt es sich dabei um einen Virus / Trojaner!

Im großen und ganzen handelt es sich um einen alten Bekannten aus der Zlob/Nuwar-Familie. Viele Scanner erkennen die Bedrohung.

Das Ding legt im Windowsverzeichnis eine neue Datei an und lädt aus dem Netz Schadcode nach – CbEvtSvc.exe

Es verändert die Registrierungsdatenbank von Windows

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum

Hinweis!

99,9% aller Viren/Trojaner lassen sich abwehren, in dem man seinen Verstand benutzt! Wenn Sie eine solche Email erhalten, von einer ihnen völlig unbekannten brasilianischen Emailadresse, warum folgen Sie auch noch dem Link? Oder ist sie vertrauenswürdiger, wenn Sie selbst der Absender sind?

Man weiß ja nie, was man des nachts im Schlaf so treibt, hmm? Und Suppe wird mit der Gabel gegessen…

Bei solchen Mails heißt es:

  • Finger weg! Löschen!
  • Keinem Link folgen, keine Webseiten öffnen, keine Dateien downloaden.

Jotti sagt dazu:
A-Squared  Keine Viren gefunden
AntiVir  TR/Crypt.XPACK.Gen gefunden 
ArcaVir  Trojan.Downloader.Zlob.Tna gefunden 
Avast  Win32:PrefPoly gefunden 
AVG Antivirus  I-Worm/Nuwar.V gefunden 
BitDefender  Keine Viren gefunden
ClamAV  Keine Viren gefunden
CPsecure  Troj.W32.Agent.wsg gefunden 
Dr.Web  Trojan.DownLoad.3248 gefunden 
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Trojan.Win32.Agent.wsg gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Trojan.Win32.Agent.wsg gefunden 
Kaspersky Anti-Virus  Trojan.Win32.Agent.wsg gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Sophos Antivirus  Mal/EncPk-DA gefunden 
VirusBuster  Keine Viren gefunden
VBA32  Keine Viren gefunden

Und Virustotal vermeldet
AhnLab-V3 2008.7.29.1 2008.08.01 –
AntiVir 7.8.1.15 2008.08.01 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.31 –
Avast 4.8.1195.0 2008.07.31 Win32:PrefPoly
AVG 8.0.0.156 2008.07.31 I-Worm/Nuwar.V
BitDefender 7.2 2008.08.01 –
CAT-QuickHeal 9.50 2008.07.31 Trojan.Agent.wsg
ClamAV 0.93.1 2008.08.01 –
DrWeb 4.44.0.09170 2008.07.31 Trojan.DownLoad.3248
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5999 2008.07.31 Win32/Collet!generic
Ewido 4.0 2008.07.31 –
F-Prot 4.4.4.56 2008.07.31 –
F-Secure 7.60.13501.0 2008.08.01 Trojan.Win32.Agent.wsg
Fortinet 3.14.0.0 2008.08.01 W32/Agent.WSG!tr
GData 2.0.7306.1023 2008.08.01 Trojan.Win32.Agent.wsg
Ikarus T3.1.1.34.0 2008.08.01 Trojan.Win32.Agent.wsg
Kaspersky 7.0.0.125 2008.08.01 Trojan.Win32.Agent.wsg
McAfee 5351 2008.07.31 –
Microsoft 1.3704 2008.07.28 –
NOD32v2 3316 2008.07.31 –
Norman 5.80.02 2008.07.31 –
Panda 9.0.0.4 2008.08.01 –
PCTools 4.4.2.0 2008.08.01 –
Prevx1 V2 2008.08.01 Malware Dropper
Rising 20.55.40.00 2008.08.01 –
Sophos 4.31.0 2008.08.01 Mal/TibsPak
Sunbelt 3.1.1537.1 2008.08.01 Trojan.Crypt.XPACK.Gen
Symantec 10 2008.08.01 –
TheHacker 6.2.96.391 2008.07.31 –
TrendMicro 8.700.0.1004 2008.08.01 –
VBA32 3.12.8.2 2008.07.31 –
ViRobot 2008.7.31.1319 2008.07.31 –
VirusBuster 4.5.11.0 2008.07.31 –
Webwasher-Gateway 6.6.2 2008.08.01 Trojan.Crypt.XPACK.Gen

Achtung!

Solche Warnungen gibt es aktuell und kostenlos in meinem Viren-Newsletter

9 Comments

  1. Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
    Vielen, vielen Dank für die Hilfe.

    Kommentar by Andreas — 21. Oktober 2013 @ 18:22

  2. Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.

    Kommentar by virenkiller — 21. Oktober 2013 @ 21:25

  3. Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.

    Kommentar by Andreas — 23. Oktober 2013 @ 07:58

  4. Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.

    http://www.virenkiller.de/onlinevirenscanner/

    Kommentar by virenkiller — 23. Oktober 2013 @ 08:01

  5. Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.

    PS.: Ich finde virenkiller.de echt SUPER!!!

    Kommentar by Andreas — 23. Oktober 2013 @ 09:31

  6. Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
    Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
    Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
    Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
    Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
    S.o.S!

    Kommentar by Scully — 5. Januar 2014 @ 07:14

  7. Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.

    Kommentar by virenkiller — 5. Januar 2014 @ 12:13

  8. Hallo virenkiller,

    ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.

    Kommentar by Anna — 4. Juni 2014 @ 16:34

  9. Hallo Anna,

    ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.

    Kommentar by virenkiller — 4. Juni 2014 @ 18:27

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen