Liebe Empfänger unseres Newsletters mit Emailadressen bei T-Online,
bitte lesen Sie den Hinweis unter
T-Online blockt unseren Newsletter! [KLICKEN]
Ich bekomme vom T-Online-Spamfilter die Newsletter mit den Virenwarnungen zurückgeschickt, weil sie angeblich Spam sind.
Wieder mal versuchen die Bot-Netz-Betreiber ihre Trojaner loszuwerden. Zuletzt haben Sie es mit angeblichen Grußkarten zum Valentinstag versucht. Jetzt ist mal wieder die Grußkartenmasche dran.
Immer die selbe Methode verwenden sie beim Verbreiten Ihrer Dateien. Eine Spam-Email lockt mit relativ primitiven Einzeilern zu einer IP-Adresse, statt zu einer Domain.
Beispiel:
Betreff: Ecard greeting inside
Text: Someone sent you this Funny Ecard. It is Hilarious! http://xxx.yyy.zzz.aaa/
Dieses Mal wird die Datei e-card.exe (Größe 121.345 Byte) verteilt. Besonders hinterhältig an der eigentlich recht primitiv gemachten Lockseite:
Sie gibt sich als der (unschuldige) ECard-Versender FunnyPostCard.com aus und versucht 5 Sekunden nach Betreten der Webseite, die Datei zu downloaden.
Der Trojaner selbst ist nicht so wahnsinnig gefährlich – vorausgesetzt, man benutzt einen aktuellen Virenscanner! Denn so ziemlich alle Virenkiller erkennen ihn als Variante des zumeist als „Zhelatin“ benannten Trojaners. Dieser Trojaner durchsucht den gesamten Computer nach Emailadressen und versendet wiederum verseuchte Emails an alle gefundenen Adressen.
Betreffs:
Your ecard joke is waiting
You have an ecard
We have a ecard surprise
Someone Just sent you an ecard
Did you open your ecard yet
ecard waiting for you
Open your ecard
new ecard waiting
Now this is funny
online greeting waiting
sent you an ecardMailtexte:
laughing Funny Card
You have been sent a Funny Postcard
You have been sent the Funny Ecard
original Funny Card
Someone Sent you this Funny Ecard
your funny postcard
original Funny Postcard
sent a Funny Postcard
personal funny postcard
FunnyPostcard
laughing funny postcard
AntiVir
Worm/Zhelatin.pc
AVG
I-Worm/Nuwar.N
BitDefender
Trojan.Peed.IWX
CAT-QuickHeal
Win32.Email-Worm.Zhelatin.vg
ClamAV
Trojan.Peed-130
DrWeb
Trojan.Packed.357
eSafe
Suspicious File
eTrust-Vet
Win32/Sintun!generic
Fortinet
W32/PackTibs.M
F-Prot
W32/Zhelatin.F.gen!Eldorado
F-Secure
Email-Worm.Win32.Zhelatin.vg
Ikarus
Trojan.Peed.IWV
Kaspersky
Email-Worm.Win32.Zhelatin.vg
McAfee
W32/Nuwar@MM
Microsoft
TrojanDropper:Win32/Nuwar.gen!B
NOD32v2
probably a variant of Win32/Nuwar.Gen
Sophos
W32/Dorf-AX
Symantec
Trojan.Peacomm
VBA32
Email-Worm.Win32.Zhelatin.vg
VirusBuster
Worm.DR.Zhelatin.Gen.4
Webwasher-Gateway
Worm.Zhelatin.pc
Das Jahr hat gerade begonnen und schon versucht man wieder, Sparkassenkunden die Zugangsdaten zu klauen.
Betreff:
Anleitung (nachrichtenzahl: hv89498592n)
Text der Mail:
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Sparkasse führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
http://sparkasse.de/datenbank/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.
=================================================
© sparkasse.de 2007. Alle Rechte vorbehalten.
4XCT: 0x6315, 0x77, 0x87763137, 0x3280, 0x24, 0x80261008, 0x69, 0x3, 0x8 E8W function define 0x98, 0x0, 0x060, 0x560, 0x70026067, 0x97223230, 0x18680233, 0x0220 revision: 0x1, 0x93, 0x93, 0x624 7885: 0x0, 0x6803, 0x41795341, 0x28, 0x4539, 0x43108747, 0x38831787, 0x34346765, 0x0, 0x23334535, 0x6174, 0x6757 0x8, 0x031, 0x515, 0x88754971, 0x01, 0x7, 0x1256, 0x18, 0x2, 0x6, 0x1, 0x84175762 HY7C: 0x82, 0x07, 0x026, 0x985, 0x92965103, 0x4839, 0x84746818, 0x3, 0x65489813 rcs: 0x983, 0x1372, 0x93 7KQ: 0x6, 0x29520312, 0x4, 0x5615, 0x317
0x759, 0x63377769, 0x36, 0x83092159, 0x69, 0x2, 0x9, 0x58320156, 0x18, 0x578, 0x30, 0x63287570, 0x63, 0x96 0x5519, 0x4473, 0x125, 0x6, 0x35, 0x18, 0x6220, 0x1, 0x09339475, 0x0433, 0x48, 0x59783264, 0x336, 0x8176 include: 0x5708, 0x372 source revision CJSQ dec: 0x4, 0x54631848, 0x3, 0x43325787, 0x325, 0x9, 0x043, 0x09782923 0x035, 0x1, 0x151, 0x17, 0x577, 0x22144808, 0x63 NLJ, revision 5UI, tmp. hex: 0x16892796, 0x756, 0x99707437, 0x676, 0x8326, 0x5175, 0x2, 0x92, 0x2102 rcs: 0x4, 0x3567, 0x4, 0x9803, 0x3, 0x2, 0x3, 0x5, 0x29341735, 0x80, 0x22, 0x0459 0x1, 0x5197, 0x87734237, 0x5244, 0x76795692, 0x98602962, 0x463, 0x287, 0x83
0N4: 0x254, 0x0578, 0x81, 0x1680, 0x141, 0x9415, 0x9744 media: 0x86950362, 0x16441593, 0x0, 0x76, 0x71105520, 0x53647734, 0x705, 0x3536, 0x26084869 0x64, 0x935, 0x4, 0x344, 0x1109, 0x565, 0x086, 0x7624, 0x469, 0x8831, 0x42420734, 0x2, 0x99, 0x4630, 0x3 create: 0x98447281, 0x313, 0x1, 0x855, 0x9 api I812 ZX5L 3SR CY12 Z5IG AIOF revision NUChex: 0x8, 0x402, 0x2218, 0x25 hex: 0x8960, 0x9842, 0x3, 0x0, 0x4, 0x2, 0x76608189, 0x755, 0x42222397, 0x36854223, 0x29491868, 0x1794 KJ2Y: 0x54, 0x2, 0x05350041, 0x75988467, 0x71417153 CHD, 3M2, P3TV. 0x168, 0x8, 0x4749, 0x6359, 0x4, 0x9, 0x9728, 0x76, 0x6, 0x658, 0x879, 0x19454437, 0x5264
Das es sich um eine Mail im HTML-Format handelt, versteckt sie den tatsächlichen Link. Dieser verweist auf:
http://sparkasse.de.datenbank.kjhds5.cn/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455
also auf die Domain kjhds5.cn, eine chinesische Adresse!
Es präsentiert sich dann eine auf den ersten Blick einleuchtende, aber eigentlich primitiv gemachte Seite, die den Besucher auffordert, seine sämtlichen verbleibenden TAN-Nummern einzugeben.
Offensichtlich hapert es bei den Verursachen mit der deutschen Sprache, denn auf der Seite steht sie abenteuerliche Satzkonstruktion:
Wir bitten Sie, alle obligatorischen Felder auszufüllen. Wenn Sie ein obligatorisches Feld frei lassen, wird ein Hinweis angezeigt, in dem Sie aufgeführt werden, die fehlenden Felder auszufüllen.
Derzeit versuchen wieder einige Virenverbreiter, den Anlass des Jahreswechsels dazu zu verwenden, ihre Trojaner in der Welt zu verbreiten.
Dieses Mal haben sie sich einige „passende Domains“ gesichert, um angebliche elektronische Neujahrspostkarten zu versenden, hinter denen sich aber in Wirklichkeit ein Trojaner verbirgt.
Unter Domainnamen wie
uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
freshcards2008.com
Update
Neu hinzugekommen:
http://hohoho2008.com/ mit happy_2008.exe
http://hellosanta2008.com
http://parentscards.com
http://santapcards.com/Und täglich kommen neue Domains für den Sturm-Trojaner hinzu:
http://merrychristmasdude.com/ (3.1.2007)
http://santawishes2008.com/ (4.1.2007)
http://HAPPY2008TOYOU.COM (4.1.2008)
http://postcards-2008.com (4.1.2008)
verbreiten Sie die Dateien mit Namen wie:
happy-2008.exe
happynewyear2008.exe
jeweils 143.873 Byte großAuskommentiert auf den Webseiten sind auch Namen wie
fck2008.exe und fck2009.exe
Viele Scanner erkennen die Gefahr bereits und identifizieren den Virus als
TR/Crypt.XDR.Gen
W32/Dropper.gen6
Win32:Zhelatin-ASX
W32/Tibs.G@mm
Die Domains selbst haben gar keinen Inhalt außer einem englischsprahigen Hinweis
Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!
Auch die Emails sind sehr primitiv. Das Betreff lautet beispielsweise „Message for new year“ und der Inhalt:
As you embrace another new year
xxxx://newyearcards2008.com/
Update 30.12.2007:
Es wird eine neue version der Mail verschickt, die etwas mehr „personalisiert“ wurde, indem man dem Spruch als Anrede die Emailadresse des Empfängers hinzufügt.Happy New Year To name@emailadresse.tld!
http://freshcards2008.com/
Jotti meint dazu:
A-Squared: Keine Viren gefunden
AntiVir: TR/Crypt.XDR.Gen gefunden:
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Dropper.Generic.TNQ gefunden:
BitDefender: Trojan.Peed.IRM gefunden:
ClamAV: Keine Viren gefunden
CPsecure: Keine Viren gefunden
Dr.Web: Trojan.Spambot.2556 gefunden:
F-Prot Antivirus: Keine Viren gefunden
F-Secure Anti-Virus: Email-Worm:W32/Zhelatin.PS gefunden:
Fortinet: Keine Viren gefunden
Ikarus: Keine Viren gefunden
Kaspersky Anti-Virus: Email-Worm.Win32.Zhelatin.pv gefunden:
NOD32: Win32/Nuwar.BE gefunden:
Norman Virus Control: Keine Viren gefunden
Panda Antivirus: Keine Viren gefunden
Rising Antivirus: Keine Viren gefunden
Sophos Antivirus: Mal/Dorf-H gefunden:
VirusBuster: Trojan.DL.Tibs.JO gefunden:
VBA32: Keine Viren gefunden
Bei Virustotal und Jotti erkennen den Virus die meisten Scanner. Auch von den Scannern auf unserer Seite http://www.virenkiller.de/onlinevirenscanner erkennen Ihn – bis auf Norman(!) – alle zuverlässig.
Auf der Seite http://www.threatexpert.com/report.aspx?uid=1c717d77-f5ea-4627-86fe-dc164d924dab gibt es eine ziemlich gute Analyse des Verhaltens dieses Trojaners. Insbesondere auch der Dateien, die noch angelegt werden, wie oriieke7cb3f68.sys und oriieke.ini.
Drauf gekommen bin ich durch das totale Versagen des Norman-Scanners, der zwar immerhin feststellt, dass diese Dateien angelegt werden, daraus aber auch am 4.1. noch keinerlei Schlüsse auf Malware zieht :-)
Ab sofort haben wir unseren bewährten Newsletter (über 6.500 Abonnenten) vom Portal Virenkiller.de getrennt und ihm eine eigene Webseite spendiert.
Wir haben festgestellt, dass die Zahl der Newsletterempfänger zwar stetig angestiegen ist, diese aber nicht zwangsläufig auch die Informationen auf Virenkiller.de nachlesen. Das führte uns zu dem Schluß, dass sich die Leser zwar sehr wohl für die zusammengefassten Informationen der kostenlosen Newsletter-Emails interessieren, damit aber eben auch zufrieden sind.
Darum also haben wir jetzt die Webseite http://www.Virennewsletter.de ins Leben gerufen. Hier erwarten unsere Newsletterempfänger immer die aktuellen Virenwarnungen, sobald wir über neue Informationen verfügen.
Selbstverständlich bleibt das Angebot weiterhin absolut kostenlos!
Die bisherigen Empfänger wurden in die Datenbank der neuen Seite überführt und davon unterrichtet. Hier, auf Virenkiller.de, werden wir auch zukünftig über Virenbedrohungen ausführlicher berichten.
Der Newsletter wird in einem sogenannten OptIn/OptOut-Verfahren versendet. Das bedeutet, dass man dem Empfang der Email anfangs einmal durch einen Klick in der Bestätigungsemail zustimmen muß. In jedem Newsletter wird sich dann ein bequemer Link zum Austragen befinden.
Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen
Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.