Virenkiller.de – die Hilfe im Kampf gegen Viren

Es soll ja immer noch Leute geben, die so blöde sind, auf so etwas hereinzufallen…

Da erreicht uns eine Email, die mit ihrer interessanten Betreffzeile oder im Text brisante Sexvideos verspricht.

Da heißt es etwa:

mpeg4 Full for naubaddy
Liv Tyler Interesting video with a naked celebrity!!! READ MORE…

Paris Hilton Scandal Home Video!

Manchmal enthält die Mail einen Link zu einem direkten Download, mit Dateinamen wie "Paris-nude-video.avi.exe". Manchmal führt sie zu gehackten Seiten und zeigt nur das obige Bild – versucht aber gleichzeitig eine Datei zu downloaden ("video_xxx7546.exe").

Die Webseiten enthalten auch noch einen verdächtigen Iframe von 1 Pixel Größe, mit dem versucht wird, den Browser hinterrücks zu infizieren.

Aber immer handelt es sich dabei um einen Virus / Trojaner!

Im großen und ganzen handelt es sich um einen alten Bekannten aus der Zlob/Nuwar-Familie. Viele Scanner erkennen die Bedrohung.

Das Ding legt im Windowsverzeichnis eine neue Datei an und lädt aus dem Netz Schadcode nach – CbEvtSvc.exe

Es verändert die Registrierungsdatenbank von Windows

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000\Control
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Security
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum

Hinweis!

99,9% aller Viren/Trojaner lassen sich abwehren, in dem man seinen Verstand benutzt! Wenn Sie eine solche Email erhalten, von einer ihnen völlig unbekannten brasilianischen Emailadresse, warum folgen Sie auch noch dem Link? Oder ist sie vertrauenswürdiger, wenn Sie selbst der Absender sind?

Man weiß ja nie, was man des nachts im Schlaf so treibt, hmm? Und Suppe wird mit der Gabel gegessen…

Bei solchen Mails heißt es:

• Finger weg! Löschen!
• Keinem Link folgen, keine Webseiten öffnen, keine Dateien downloaden.

Jotti sagt dazu:
A-Squared  Keine Viren gefunden
AntiVir  TR/Crypt.XPACK.Gen gefunden 
ArcaVir  Trojan.Downloader.Zlob.Tna gefunden 
Avast  Win32:PrefPoly gefunden 
AVG Antivirus  I-Worm/Nuwar.V gefunden 
BitDefender  Keine Viren gefunden
ClamAV  Keine Viren gefunden
CPsecure  Troj.W32.Agent.wsg gefunden 
Dr.Web  Trojan.DownLoad.3248 gefunden 
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Trojan.Win32.Agent.wsg gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Trojan.Win32.Agent.wsg gefunden 
Kaspersky Anti-Virus  Trojan.Win32.Agent.wsg gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Sophos Antivirus  Mal/EncPk-DA gefunden 
VirusBuster  Keine Viren gefunden
VBA32  Keine Viren gefunden

Und Virustotal vermeldet
AhnLab-V3 2008.7.29.1 2008.08.01 –
AntiVir 7.8.1.15 2008.08.01 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.31 –
Avast 4.8.1195.0 2008.07.31 Win32:PrefPoly
AVG 8.0.0.156 2008.07.31 I-Worm/Nuwar.V
BitDefender 7.2 2008.08.01 –
CAT-QuickHeal 9.50 2008.07.31 Trojan.Agent.wsg
ClamAV 0.93.1 2008.08.01 –
DrWeb 4.44.0.09170 2008.07.31 Trojan.DownLoad.3248
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5999 2008.07.31 Win32/Collet!generic
Ewido 4.0 2008.07.31 –
F-Prot 4.4.4.56 2008.07.31 –
F-Secure 7.60.13501.0 2008.08.01 Trojan.Win32.Agent.wsg
Fortinet 3.14.0.0 2008.08.01 W32/Agent.WSG!tr
GData 2.0.7306.1023 2008.08.01 Trojan.Win32.Agent.wsg
Ikarus T3.1.1.34.0 2008.08.01 Trojan.Win32.Agent.wsg
Kaspersky 7.0.0.125 2008.08.01 Trojan.Win32.Agent.wsg
McAfee 5351 2008.07.31 –
Microsoft 1.3704 2008.07.28 –
NOD32v2 3316 2008.07.31 –
Norman 5.80.02 2008.07.31 –
Panda 9.0.0.4 2008.08.01 –
PCTools 4.4.2.0 2008.08.01 –
Prevx1 V2 2008.08.01 Malware Dropper
Rising 20.55.40.00 2008.08.01 –
Sophos 4.31.0 2008.08.01 Mal/TibsPak
Sunbelt 3.1.1537.1 2008.08.01 Trojan.Crypt.XPACK.Gen
Symantec 10 2008.08.01 –
TheHacker 6.2.96.391 2008.07.31 –
TrendMicro 8.700.0.1004 2008.08.01 –
VBA32 3.12.8.2 2008.07.31 –
ViRobot 2008.7.31.1319 2008.07.31 –
VirusBuster 4.5.11.0 2008.07.31 –
Webwasher-Gateway 6.6.2 2008.08.01 Trojan.Crypt.XPACK.Gen

Achtung!

Solche Warnungen gibt es aktuell und kostenlos in meinem Viren-Newsletter

Paypalkunden sollen verlockt werden auf einer in Dänemark liegenden Seite namens palupdate.dk ihre Paypaldaten einzugeben.

Sollte das klappen, ist es für die Verbrecher sicher genauso lohnend, wie in ein Bankkonto einzubrechen. Mit dem Unterschied, dass keine weiteren Sicherheitssperren wie TANs etc. existieren.

VORSICHT: Script!

Man kann davon ausgehen, dass diese Seite auch “virenverseucht” ist und mithilfe eines sogenannten “Cross-Site-Scripting” Versuchs (XSS) versucht, Besucher der Seite über Browserlücken anzugreifen, um etwa einen Trojaner zu installieren. Auf jeden Fall gibt Firefox entsprechende Warnungen aus!

Betreff der Mail:
Neu PayPal-Sicherheits-Center 2008

Mailtext:

Neu PayPal-Sicherheits-Center 2008.
Guten Tag,

Die PayPal Sicherheitsabteilung hat ein neues Datenschutzsystem entwickelt.Da zur Zeit die Betrügereien mit den PayPal-Konten von unseren Kunden häufig geworden sind, müssen wir notgedrungn nachträglich eine zusätzliche Autorisation von den PayPal-Kontobesitzern durchführen.
Der Sicherheitsdienst der PayPal traf die Entscheidung,eine neue Sicherung von den Datenvorzunehmen.Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-übertragung, als auch die Kodierungsart der übertragenen Daten erneuert.
Der Vorgang ist jedoch noch nicht abgeschlossen.
Sie müssen auf den Link unten klicken und Ihr Passwort auf der folgenden Seite eingeben, um diese E-Mail-Adresse zu bestätigen.

Klicken Sie hier, um Ihre E-Mail-Adresse zu bestätigen

Sie können Ihre E-Mail-Adresse auch bestätigen, indem Sie sich unter https://www.paypal.com/de/ in Ihr PayPal-Konto einloggen.
Vielen Dank, dass Sie sich für PayPal entschieden haben.
Ihr PayPal-Team

Angeblicher Besitzer ist ein Pelle Schmidt mit einer Postfachadresse.

Virenkiller.de-Rat:

1. Auf keinen Fall ansurfen! Unterdrücken Sie Ihre Neugier!
2. Besorgen Sie sich einen sicheren Browser (Firefox-Download befindet sich rechts im Menü von www.virenkiller.de)
3. Tragen Sie sich in unseren Virennewsletter ein.

Antivir erkennt ihn nicht und auch bei Jotti (http://virusscan.jotti.org/de/) bzw. Virustotal (http://www.virustotal.com/de/) erkennen ihn nur wenige…

Die Rede ist von einem Trojaner, der seinen weiteren Code aus dem Internet downloadet.

Die Gefahr dürfte zumindest im deutschen Sprachraum relativ gering sein, da die Mail englisch ist und der (angebliche) Absender niemandem bekannt sein dürfte und auch nichts mit dem “Unterzeichner” der Mail zu tun hat.

Der Betreff lautet:

You ask me about this game, Here is it

Der Mailtext:

Good Day, man!Anna sent you animated card. You can check this in your attachment.Best regards,
Your Funny Cards. 

Als Anhang hat die Mail eine Datei namens Card.zip, die wiederum eine card.exe enthält (20.992 Byte).

Laut Jotti und Virustotal enth#ält diese den Pandex.gen

Virustotal hat mehr Treffer:

ClamAV 0.91.2 2007.09.21 Trojan.Downloader-13920
F-Secure 6.70.13030.0 2007.09.21 Pandex.gen
Ikarus T3.1.1.12 2007.09.21 Win32.Outbreak
Norman 5.80.02 2007.09.20 Pandex.gen
Sophos 4.21.0 2007.09.21 Troj/Pushdo-C

Die Mail sollte umgehend gelöscht werden. Keinesfalls die ZIP-Datei öffnen oder die Programmdatei starten!

Diese Warnung gab es ganz aktuell übrigens auch in unserem Virennewsletter von http://www.Virennewsletter.de!

Einfach hier rechts im Menü anmelden!

UPDATE:
Nach unserer Zusendung hat man bei Avia (Antivir) dem Trojaner den Namen Worm/Ntech.I gegeben. Ein aktuelles Update am 21.9.2007 um 10:30 Uhr erkannte den Virus dann auch.