Derzeit versuchen wieder einige Virenverbreiter, den Anlass des Jahreswechsels dazu zu verwenden, ihre Trojaner in der Welt zu verbreiten.
Dieses Mal haben sie sich einige “passende Domains” gesichert, um angebliche elektronische Neujahrspostkarten zu versenden, hinter denen sich aber in Wirklichkeit ein Trojaner verbirgt.
Unter Domainnamen wie
uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
freshcards2008.com
Update
Neu hinzugekommen:
http://hohoho2008.com/ mit happy_2008.exehttp://hellosanta2008.com
http://parentscards.com
http://santapcards.com/
Und täglich kommen neue Domains für den Sturm-Trojaner hinzu:
http://merrychristmasdude.com/ (3.1.2007)http://santawishes2008.com/ (4.1.2007)
http://HAPPY2008TOYOU.COM (4.1.2008)
http://postcards-2008.com (4.1.2008)
verbreiten Sie die Dateien mit Namen wie:
happy-2008.exe
happynewyear2008.exe
jeweils 143.873 Byte großAuskommentiert auf den Webseiten sind auch Namen wie
fck2008.exe und fck2009.exe
Viele Scanner erkennen die Gefahr bereits und identifizieren den Virus als
TR/Crypt.XDR.Gen
W32/Dropper.gen6
Win32:Zhelatin-ASX
W32/Tibs.G@mm
Die Domains selbst haben gar keinen Inhalt außer einem englischsprahigen Hinweis
Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!
Auch die Emails sind sehr primitiv. Das Betreff lautet beispielsweise “Message for new year” und der Inhalt:
As you embrace another new year
xxxx://newyearcards2008.com/
Update 30.12.2007:
Es wird eine neue version der Mail verschickt, die etwas mehr “personalisiert” wurde, indem man dem Spruch als Anrede die Emailadresse des Empfängers hinzufügt.Happy New Year To name@emailadresse.tld!
http://freshcards2008.com/
Jotti meint dazu:
A-Squared: Keine Viren gefunden
AntiVir: TR/Crypt.XDR.Gen gefunden:
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Dropper.Generic.TNQ gefunden:
BitDefender: Trojan.Peed.IRM gefunden:
ClamAV: Keine Viren gefunden
CPsecure: Keine Viren gefunden
Dr.Web: Trojan.Spambot.2556 gefunden:
F-Prot Antivirus: Keine Viren gefunden
F-Secure Anti-Virus: Email-Worm:W32/Zhelatin.PS gefunden:
Fortinet: Keine Viren gefunden
Ikarus: Keine Viren gefunden
Kaspersky Anti-Virus: Email-Worm.Win32.Zhelatin.pv gefunden:
NOD32: Win32/Nuwar.BE gefunden:
Norman Virus Control: Keine Viren gefunden
Panda Antivirus: Keine Viren gefunden
Rising Antivirus: Keine Viren gefunden
Sophos Antivirus: Mal/Dorf-H gefunden:
VirusBuster: Trojan.DL.Tibs.JO gefunden:
VBA32: Keine Viren gefunden
Und der Onlinescan?
Bei Virustotal und Jotti erkennen den Virus die meisten Scanner. Auch von den Scannern auf unserer Seite http://www.virenkiller.de/onlinevirenscanner erkennen Ihn – bis auf Norman(!) - alle zuverlässig.
Update
Auf der Seite http://www.threatexpert.com/report.aspx?uid=1c717d77-f5ea-4627-86fe-dc164d924dab gibt es eine ziemlich gute Analyse des Verhaltens dieses Trojaners. Insbesondere auch der Dateien, die noch angelegt werden, wie oriieke7cb3f68.sys und oriieke.ini.
Drauf gekommen bin ich durch das totale Versagen des Norman-Scanners, der zwar immerhin feststellt, dass diese Dateien angelegt werden, daraus aber auch am 4.1. noch keinerlei Schlüsse auf Malware zieht :-)