Ein neuer Versuch, Trojaner zu verbreiten, tarnt sich als angebliche Email von Microsoft. Und um es gleich zu sagen: Die Erkennungsraten sind jämmerlich. 4-5 Scanner erkennen die Bedrohung (siehe Liste unten).
Scheinbar wundert sich niemand darüber, wenn von Microsoft eine Email mit dem Betreff
Download Free
ankommt darüber, woher MS diese Emailadresse überhaupt hat. Noch seltsamer ist, dass als angeblicher Absender admin@microsoft.com fungiert, die eigentliche Absenderadresse aber mit der Empfängeradresse identisch ist.
Die Mail ist nicht besonders phantasievoll gemacht. Und anders als die Versuche der letzten Zeit lenkt sie den Empfänger auch nicht auf eine vorbereitete Webseite (die noch einen unsichtbaren IFrame mit einem Exploit enthält), sondern sie bietet einen direkten Download einer Datei namens IE-7.0.exe (130.048 Byte groß)
Der Text der Email:
Download the latest version Internet Explorer 7.0!
About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the „Unsubscribe“ link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers‘ content nor any of the goods or service advertised. Prices and item availability subject to change without notice.
Analyse
Jotti findet 4 Viren:
ArcaVir Heur.W32 gefunden
Ikarus Trojan-Downloader.Win32.Renos.AQ gefunden
Norman Virus Control Smalltroj.gen22 gefunden
Sophos Antivirus Mal/EncPk-CZ gefunden
Virustotal immerhin schon 5
CAT-QuickHeal 9.50 2008.08.12 (Suspicious) – DNAScan
eSafe 7.0.17.0 2008.08.12 Suspicious File
Ikarus T3.1.1.34.0 2008.08.13 Trojan-Downloader.Win32.Renos.AQ
Norman 5.80.02 2008.08.12 Smalltroj.gen22
Sophos 4.32.0 2008.08.13 Mal/EncPk-CZ
Es soll ja immer noch Leute geben, die so blöde sind, auf so etwas hereinzufallen…
Da erreicht uns eine Email, die mit ihrer interessanten Betreffzeile oder im Text brisante Sexvideos verspricht.
Da heißt es etwa:
mpeg4 Full for naubaddy
Liv Tyler Interesting video with a naked celebrity!!! READ MORE…
Paris Hilton Scandal Home Video!
Manchmal enthält die Mail einen Link zu einem direkten Download, mit Dateinamen wie "Paris-nude-video.avi.exe". Manchmal führt sie zu gehackten Seiten und zeigt nur das obige Bild – versucht aber gleichzeitig eine Datei zu downloaden ("video_xxx7546.exe").
Die Webseiten enthalten auch noch einen verdächtigen Iframe von 1 Pixel Größe, mit dem versucht wird, den Browser hinterrücks zu infizieren.
Aber immer handelt es sich dabei um einen Virus / Trojaner!
Im großen und ganzen handelt es sich um einen alten Bekannten aus der Zlob/Nuwar-Familie. Viele Scanner erkennen die Bedrohung.
Das Ding legt im Windowsverzeichnis eine neue Datei an und lädt aus dem Netz Schadcode nach – CbEvtSvc.exe
Es verändert die Registrierungsdatenbank von Windows
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CBEVTSVC\0000\Control
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Security
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum
Hinweis!
99,9% aller Viren/Trojaner lassen sich abwehren, in dem man seinen Verstand benutzt! Wenn Sie eine solche Email erhalten, von einer ihnen völlig unbekannten brasilianischen Emailadresse, warum folgen Sie auch noch dem Link? Oder ist sie vertrauenswürdiger, wenn Sie selbst der Absender sind?
Man weiß ja nie, was man des nachts im Schlaf so treibt, hmm? Und Suppe wird mit der Gabel gegessen…
Bei solchen Mails heißt es:
- Finger weg! Löschen!
- Keinem Link folgen, keine Webseiten öffnen, keine Dateien downloaden.
Jotti sagt dazu:
A-Squared Keine Viren gefunden
AntiVir TR/Crypt.XPACK.Gen gefunden
ArcaVir Trojan.Downloader.Zlob.Tna gefunden
Avast Win32:PrefPoly gefunden
AVG Antivirus I-Worm/Nuwar.V gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Troj.W32.Agent.wsg gefunden
Dr.Web Trojan.DownLoad.3248 gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Trojan.Win32.Agent.wsg gefunden
Fortinet Keine Viren gefunden
Ikarus Trojan.Win32.Agent.wsg gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.wsg gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Mal/EncPk-DA gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
Und Virustotal vermeldet
AhnLab-V3 2008.7.29.1 2008.08.01 –
AntiVir 7.8.1.15 2008.08.01 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.31 –
Avast 4.8.1195.0 2008.07.31 Win32:PrefPoly
AVG 8.0.0.156 2008.07.31 I-Worm/Nuwar.V
BitDefender 7.2 2008.08.01 –
CAT-QuickHeal 9.50 2008.07.31 Trojan.Agent.wsg
ClamAV 0.93.1 2008.08.01 –
DrWeb 4.44.0.09170 2008.07.31 Trojan.DownLoad.3248
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5999 2008.07.31 Win32/Collet!generic
Ewido 4.0 2008.07.31 –
F-Prot 4.4.4.56 2008.07.31 –
F-Secure 7.60.13501.0 2008.08.01 Trojan.Win32.Agent.wsg
Fortinet 3.14.0.0 2008.08.01 W32/Agent.WSG!tr
GData 2.0.7306.1023 2008.08.01 Trojan.Win32.Agent.wsg
Ikarus T3.1.1.34.0 2008.08.01 Trojan.Win32.Agent.wsg
Kaspersky 7.0.0.125 2008.08.01 Trojan.Win32.Agent.wsg
McAfee 5351 2008.07.31 –
Microsoft 1.3704 2008.07.28 –
NOD32v2 3316 2008.07.31 –
Norman 5.80.02 2008.07.31 –
Panda 9.0.0.4 2008.08.01 –
PCTools 4.4.2.0 2008.08.01 –
Prevx1 V2 2008.08.01 Malware Dropper
Rising 20.55.40.00 2008.08.01 –
Sophos 4.31.0 2008.08.01 Mal/TibsPak
Sunbelt 3.1.1537.1 2008.08.01 Trojan.Crypt.XPACK.Gen
Symantec 10 2008.08.01 –
TheHacker 6.2.96.391 2008.07.31 –
TrendMicro 8.700.0.1004 2008.08.01 –
VBA32 3.12.8.2 2008.07.31 –
ViRobot 2008.7.31.1319 2008.07.31 –
VirusBuster 4.5.11.0 2008.07.31 –
Webwasher-Gateway 6.6.2 2008.08.01 Trojan.Crypt.XPACK.Gen
Achtung!
Solche Warnungen gibt es aktuell und kostenlos in meinem Viren-Newsletter
Derzeit versuchen es die Virenverbreiter mal wieder in Deutschland, indem sie angebliche UPS-Lieferscheine in ZIP-Dateien verpackt, per Email versenden. In diesen ZIPs befindet sich dann eine ausführbare Datei(!).
Fragen Sie sich doch bitte folgendes:
- Woher soll UPS Ihre Emailadresse haben?
- Warum enthält die Email keinerlei Telefonnummern und Kontaktdaten?
- Was soll ein Lieferschein zum Ausdrucken als EXE-Datei?
- Warum hat eine Email von UPS einen Absender wie wkselke@bloodstockhorses.com?
Betreff: Ihr UPS Paket N4717233433
Hier der Text der Mail:
Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
und holen Sie ihr Paket bei uns ab.
Mit freundlichen Grussen,
Ihre UPS
Interessant ist auch hier mal wieder das Fehlen von Umlauten wie in „Empfangers und Grussen“. Auch Fehler wie „leider konnten wir ihren Paket“ deuten auf ausländische Verursacher hin.
Vermutlich verbreitet sich das Teil über befallene Rechner. Ich erhielt mein Exemplar von der T-Online IP 87.139.69.214 aus Offenbach.
Der Anhang heißt (in meinem Fall) etwa: UPS_Lieferschein_8102.zip und enthält die Datei UPS_Lieferschein.exe (8.192 Byte)
Die meisten Virenscanner erkennen Ihn.
Diese Warnungen versende ich auch per Email!
In meinem kostenlosen Newsletter.
Hier die Ergebnisse von Jotti und Virustotal:
A-Squared Keine Viren gefunden
AntiVir TR/Dldr.Tiny.brm gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Tiny-UR gefunden
AVG Antivirus SHeur.BWIM gefunden
BitDefender Trojan.Downloader.Gadja.C gefunden
ClamAV Trojan.Agent-30547 gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Trojan-Downloader:W32/Small.GZA, Trojan-Downloader.Win32.Tiny.brm gefunden
Fortinet Keine Viren gefunden
Ikarus Trojan-Downloader.Win32.Tiny.brm gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Obitel.a gefunden
NOD32 Win32/TrojanDownloader.Tiny.NDM gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Troj/Agent-HFU gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
AhnLab-V3 2008.7.11.0 2008.07.11 –
AntiVir 7.8.0.64 2008.07.14 TR/Dldr.Tiny.brm
Authentium 5.1.0.4 2008.07.13 W32/Trojan2.ATAB
Avast 4.8.1195.0 2008.07.14 Win32:Tiny-UR
AVG 7.5.0.516 2008.07.14 SHeur.BWIM
BitDefender 7.2 2008.07.14 Trojan.Downloader.Gadja.C
CAT-QuickHeal 9.50 2008.07.11 (Suspicious) – DNAScan
ClamAV 0.93.1 2008.07.14 Trojan.Agent-30547
DrWeb 4.44.0.09170 2008.07.14 –
eSafe 7.0.17.0 2008.07.13 –
eTrust-Vet 31.6.5954 2008.07.14 Win32/SillyDl.EUC
Ewido 4.0 2008.07.13 –
F-Prot 4.4.4.56 2008.07.13 –
F-Secure 7.60.13501.0 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Fortinet 3.14.0.0 2008.07.14 –
GData 2.0.7306.1023 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Ikarus T3.1.1.26.0 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Kaspersky 7.0.0.125 2008.07.14 Trojan-Downloader.Win32.Obitel.a
McAfee 5337 2008.07.11 –
Microsoft 1.3704 2008.07.14 Trojan:Win32/Agent.EE
NOD32v2 3265 2008.07.14 Win32/TrojanDownloader.Tiny.NDM
Norman 5.80.02 2008.07.11 –
Panda 9.0.0.4 2008.07.13 Suspicious file
Prevx1 V2 2008.07.14 Malware Downloader
Rising 20.53.02.00 2008.07.14 –
Sophos 4.31.0 2008.07.14 Troj/Agent-HFU
Sunbelt 3.1.1536.1 2008.07.12 –
Symantec 10 2008.07.14 Downloader
TheHacker 6.2.96.378 2008.07.13 –
TrendMicro 8.700.0.1004 2008.07.14 PAK_Generic.001
VBA32 3.12.6.9 2008.07.13 –
VirusBuster 4.5.11.0 2008.07.13 –
Webwasher-Gateway 6.6.2 2008.07.14 Trojan.Dldr.Tiny.brm