Virenkiller.de

31.8.2012

Eine gefährliche Sicherheitslücke in Java ermöglich dem sozialen Bodensatz unserer Gesellschaft, über manipulierte Webseiten harmlose Internetsurfer anzugreifen und schädlichen Code auszuführen.

Hersteller Oracle warnt, dass so etwa Programme installiert werden können und der Angreifer die Kontrolle über den Rechner bekommt. So können z.B. Kontopasswörter ausgeschnüffelt werden.

Die aktuellste Version von Java soll die Lücken schließen. Erste manipulierte Webseiten sind schon aufgetaucht.

Um festzustellen, ob man die aktuellste Version von Java hat, kann man die Testseite von Oracle besuchen.
http://www.java.com/de/download/testjava.jsp

Dort bekommt man auch die aktuelle Version.

Man sollte dringend ein Update durchführen. Laut Oracle sind allein in Deutschland Millionen Rechner gefährdet.

Es soll ja immer noch Leute geben, die so blöde sind, auf so etwas hereinzufallen…

Da erreicht uns eine Email, die mit ihrer interessanten Betreffzeile oder im Text brisante Sexvideos verspricht.

Da heißt es etwa:

mpeg4 Full for naubaddy
Liv Tyler Interesting video with a naked celebrity!!! READ MORE…

Paris Hilton Scandal Home Video!

Manchmal enthält die Mail einen Link zu einem direkten Download, mit Dateinamen wie "Paris-nude-video.avi.exe". Manchmal führt sie zu gehackten Seiten und zeigt nur das obige Bild – versucht aber gleichzeitig eine Datei zu downloaden ("video_xxx7546.exe").

Die Webseiten enthalten auch noch einen verdächtigen Iframe von 1 Pixel Größe, mit dem versucht wird, den Browser hinterrücks zu infizieren.

Aber immer handelt es sich dabei um einen Virus / Trojaner!

Im großen und ganzen handelt es sich um einen alten Bekannten aus der Zlob/Nuwar-Familie. Viele Scanner erkennen die Bedrohung.

Das Ding legt im Windowsverzeichnis eine neue Datei an und lädt aus dem Netz Schadcode nach – CbEvtSvc.exe

Es verändert die Registrierungsdatenbank von Windows

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000\Control
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Security
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum

Hinweis!

99,9% aller Viren/Trojaner lassen sich abwehren, in dem man seinen Verstand benutzt! Wenn Sie eine solche Email erhalten, von einer ihnen völlig unbekannten brasilianischen Emailadresse, warum folgen Sie auch noch dem Link? Oder ist sie vertrauenswürdiger, wenn Sie selbst der Absender sind?

Man weiß ja nie, was man des nachts im Schlaf so treibt, hmm? Und Suppe wird mit der Gabel gegessen…

Bei solchen Mails heißt es:

• Finger weg! Löschen!
• Keinem Link folgen, keine Webseiten öffnen, keine Dateien downloaden.

Jotti sagt dazu:
A-Squared  Keine Viren gefunden
AntiVir  TR/Crypt.XPACK.Gen gefunden 
ArcaVir  Trojan.Downloader.Zlob.Tna gefunden 
Avast  Win32:PrefPoly gefunden 
AVG Antivirus  I-Worm/Nuwar.V gefunden 
BitDefender  Keine Viren gefunden
ClamAV  Keine Viren gefunden
CPsecure  Troj.W32.Agent.wsg gefunden 
Dr.Web  Trojan.DownLoad.3248 gefunden 
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Trojan.Win32.Agent.wsg gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Trojan.Win32.Agent.wsg gefunden 
Kaspersky Anti-Virus  Trojan.Win32.Agent.wsg gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Sophos Antivirus  Mal/EncPk-DA gefunden 
VirusBuster  Keine Viren gefunden
VBA32  Keine Viren gefunden

Und Virustotal vermeldet
AhnLab-V3 2008.7.29.1 2008.08.01 –
AntiVir 7.8.1.15 2008.08.01 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.31 –
Avast 4.8.1195.0 2008.07.31 Win32:PrefPoly
AVG 8.0.0.156 2008.07.31 I-Worm/Nuwar.V
BitDefender 7.2 2008.08.01 –
CAT-QuickHeal 9.50 2008.07.31 Trojan.Agent.wsg
ClamAV 0.93.1 2008.08.01 –
DrWeb 4.44.0.09170 2008.07.31 Trojan.DownLoad.3248
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5999 2008.07.31 Win32/Collet!generic
Ewido 4.0 2008.07.31 –
F-Prot 4.4.4.56 2008.07.31 –
F-Secure 7.60.13501.0 2008.08.01 Trojan.Win32.Agent.wsg
Fortinet 3.14.0.0 2008.08.01 W32/Agent.WSG!tr
GData 2.0.7306.1023 2008.08.01 Trojan.Win32.Agent.wsg
Ikarus T3.1.1.34.0 2008.08.01 Trojan.Win32.Agent.wsg
Kaspersky 7.0.0.125 2008.08.01 Trojan.Win32.Agent.wsg
McAfee 5351 2008.07.31 –
Microsoft 1.3704 2008.07.28 –
NOD32v2 3316 2008.07.31 –
Norman 5.80.02 2008.07.31 –
Panda 9.0.0.4 2008.08.01 –
PCTools 4.4.2.0 2008.08.01 –
Prevx1 V2 2008.08.01 Malware Dropper
Rising 20.55.40.00 2008.08.01 –
Sophos 4.31.0 2008.08.01 Mal/TibsPak
Sunbelt 3.1.1537.1 2008.08.01 Trojan.Crypt.XPACK.Gen
Symantec 10 2008.08.01 –
TheHacker 6.2.96.391 2008.07.31 –
TrendMicro 8.700.0.1004 2008.08.01 –
VBA32 3.12.8.2 2008.07.31 –
ViRobot 2008.7.31.1319 2008.07.31 –
VirusBuster 4.5.11.0 2008.07.31 –
Webwasher-Gateway 6.6.2 2008.08.01 Trojan.Crypt.XPACK.Gen

Achtung!

Solche Warnungen gibt es aktuell und kostenlos in meinem Viren-Newsletter

Paypalkunden sollen verlockt werden auf einer in Dänemark liegenden Seite namens palupdate.dk ihre Paypaldaten einzugeben.

Sollte das klappen, ist es für die Verbrecher sicher genauso lohnend, wie in ein Bankkonto einzubrechen. Mit dem Unterschied, dass keine weiteren Sicherheitssperren wie TANs etc. existieren.

VORSICHT: Script!

Man kann davon ausgehen, dass diese Seite auch „virenverseucht“ ist und mithilfe eines sogenannten „Cross-Site-Scripting“ Versuchs (XSS) versucht, Besucher der Seite über Browserlücken anzugreifen, um etwa einen Trojaner zu installieren. Auf jeden Fall gibt Firefox entsprechende Warnungen aus!

Betreff der Mail:
Neu PayPal-Sicherheits-Center 2008

Mailtext:

Neu PayPal-Sicherheits-Center 2008.
Guten Tag,

Die PayPal Sicherheitsabteilung hat ein neues Datenschutzsystem entwickelt.Da zur Zeit die Betrügereien mit den PayPal-Konten von unseren Kunden häufig geworden sind, müssen wir notgedrungn nachträglich eine zusätzliche Autorisation von den PayPal-Kontobesitzern durchführen.
Der Sicherheitsdienst der PayPal traf die Entscheidung,eine neue Sicherung von den Datenvorzunehmen.Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-übertragung, als auch die Kodierungsart der übertragenen Daten erneuert.
Der Vorgang ist jedoch noch nicht abgeschlossen.
Sie müssen auf den Link unten klicken und Ihr Passwort auf der folgenden Seite eingeben, um diese E-Mail-Adresse zu bestätigen.

Klicken Sie hier, um Ihre E-Mail-Adresse zu bestätigen

Sie können Ihre E-Mail-Adresse auch bestätigen, indem Sie sich unter https://www.paypal.com/de/ in Ihr PayPal-Konto einloggen.
Vielen Dank, dass Sie sich für PayPal entschieden haben.
Ihr PayPal-Team

Angeblicher Besitzer ist ein Pelle Schmidt mit einer Postfachadresse.

Virenkiller.de-Rat:

1. Auf keinen Fall ansurfen! Unterdrücken Sie Ihre Neugier!
2. Besorgen Sie sich einen sicheren Browser (Firefox-Download befindet sich rechts im Menü von www.virenkiller.de)
3. Tragen Sie sich in unseren Virennewsletter ein.

Antivir erkennt ihn nicht und auch bei Jotti (http://virusscan.jotti.org/de/) bzw. Virustotal (http://www.virustotal.com/de/) erkennen ihn nur wenige…

Die Rede ist von einem Trojaner, der seinen weiteren Code aus dem Internet downloadet.

Die Gefahr dürfte zumindest im deutschen Sprachraum relativ gering sein, da die Mail englisch ist und der (angebliche) Absender niemandem bekannt sein dürfte und auch nichts mit dem „Unterzeichner“ der Mail zu tun hat.

Der Betreff lautet:

You ask me about this game, Here is it

Der Mailtext:

Good Day, man!Anna sent you animated card. You can check this in your attachment.Best regards,
Your Funny Cards. 

Als Anhang hat die Mail eine Datei namens Card.zip, die wiederum eine card.exe enthält (20.992 Byte).

Laut Jotti und Virustotal enth#ält diese den Pandex.gen

Virustotal hat mehr Treffer:

ClamAV 0.91.2 2007.09.21 Trojan.Downloader-13920
F-Secure 6.70.13030.0 2007.09.21 Pandex.gen
Ikarus T3.1.1.12 2007.09.21 Win32.Outbreak
Norman 5.80.02 2007.09.20 Pandex.gen
Sophos 4.21.0 2007.09.21 Troj/Pushdo-C

Die Mail sollte umgehend gelöscht werden. Keinesfalls die ZIP-Datei öffnen oder die Programmdatei starten!

Diese Warnung gab es ganz aktuell übrigens auch in unserem Virennewsletter von http://www.Virennewsletter.de!

Einfach hier rechts im Menü anmelden!

UPDATE:
Nach unserer Zusendung hat man bei Avia (Antivir) dem Trojaner den Namen Worm/Ntech.I gegeben. Ein aktuelles Update am 21.9.2007 um 10:30 Uhr erkannte den Virus dann auch.

Eine Mail die angeblich von einem Ebay-Shop stammt, versucht mal wieder auf eine virenverseuchte Seite bei Geocities zu locken.

Betreff:
Das spezielle Geschenk zum Kauf.

Mailtext:

Unsere herzlichsten Glückwünsche. Sie sind der Käufer #10.000 in unserem Geschäft, deshalb schenken wir Ihnen ein Geschenk. Welcher? Bitte, folgen Sie dem Link http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&Item=220133405551&Category=133515 und erfahren Sie das. Wir danken Ihnen für die Benutzung der Dienstleistungen unseres Geschäftes. Kaufen Sie bitte noch.

Soweit der „normale“ Mailtext. In der HTML-Version versucht man den Leser auf eine Virenverseuchte Seite zu locken.

Vorsicht, auf keinen Fall ansurfen!!!

Warnung vor gefälschten Telekom-Mails (T-Mobile)

Der Newsticker des Heiseverlags warnt vor gefälschten Mails von T-Mobile.

Diese locken den Empfänger mit Gutschriften aus dem SMS-Konto.

Betreff der Mails:

Betr.: Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben

Der Text der Mail lautet:

Die Gesellschaft „T-Mobile“ dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefonsimmer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier http://www.t-mobile.de/mein-t-mobile/0,9703,14244-_,00.html anschauen. Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.

Ein Link in der Mail führt dann allerdings nicht auf eine T-Mobileseite, sondern wieder mal auf eine virenverseuchte Webseite, die dem Besucher durch einen nicht wahrnehmbaren Iframe durch Javascripte gefährliche Trojaner unterzuschieben versucht. Iframes nennt man die Technik, in normale Webseiten offen oder versteckt Inhalte anderer Webseiten einzubetten.

Erfolgversprechend dürfte so eine Mail ohnehin eigentlich nur bei Kunden von T-Mobile sein, aber man weiß ja nie.

Kompletter Text von heise:

http://www.heise.de/newsticker/meldung/93118

Auch T-Mobile selbst warnt:

http://www.t-mobile.de/virenwarnung

Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de

Das Muster ist immer dasselbe. Sogar der Verursacher ist derselbe, weil er definitiv mit Viren auf dem Server 203.223.158.26 arbeitet.

Im Mailpostfach tauchen scheinbar völlig harmlose Mails auf, die mit Billigangeboten locken. Meist ziemlich zusammengeschustert, aber ganz eindeutig nicht aus Deutschland stammend, wenngleich man die Sprache des Textes als deutsch bezeichnen könnte.

Derzeit lockt beispielsweise eine Mail mit spottbilligen Flügen der Fluggesellschaft Air Berlin. Das Betreff lautet:

Interessanter Angebot von „Berliner Airlines“

So so, DER Angebot, hmm? :-)

Weiter gehts mit der Radebrecherei:

Achtung! In diesem Sommersaison fuehrt die Gesellschaft  „Berliener Airlines“ eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http://XXXXXXXXX.biz/

Gut, das alles scheint (und ist) ja soweit ungefährlich. Personen mit einem IQ über 75 erkennen vermutlich auch sofort, dass es sich um Unsinn handelt. Nichtsdestotrotz weckt die Mail vielleicht bei dem einen oder anderen die Neugier. Mal sehen, was die denn wirklich verkaufen wollen…

Die wollen gar nichts verkaufen!

Folgt man dem Link, so landet man bei einer seltsamen, harmlos scheinenden Seite aus Korea. Der Trick liegt in einem eingebetteten Frame (iFrame), der eine Seite nachlädt, die wiederum ein hinterhältiges Javascript enthält. Dieses Javascript versucht, bekannte Exploits des Internetexplorers nachzuladen, um so die Kontrolle über Ihren Rechner zu bekommen.  

OK, was kann man dagegen tun?

Das ist relativ einfach zusammenzufassen:

1. Immer alle aktuellen Updates von Windows/Internet Explorer laden! 
2. Hirn einschalten! Die Air Berlin bietet nichts auf einer Seite an, die eine Topleveldomain biz hat und schon im Namen das Wort Korea.
3. Merken: Nach neusten Untersuchungen sidn 80% aller Seiten unter .INFO bzw. .BIZ Virenschleudern.
4. Javascript abschalten bzw. einen anderen Browser benutzen. Rechts neben diesem Artikel finden Sie die Hinweis-Box mit einem Link zu einem optimierten Firefoxbrwoser mit Googlefunktionen. Auf den wirken diese Exploits gar nicht!
5. Einen Spamfilter benutzen.

Nochmal: Bitte nutzen Sie einen Spamfilter. Folgen Sie niemals Links in Spammails. Entweder holen Sie sich damit Schädlinge in den Rechner oder sie bestätigen den Spammern Ihre Emailadresse.

Nutzen Sie einen Browser wie Firefox (Link dazu rechts in der Hinweisbox)