Virenkiller.de

Die Doofen sterben nie aus…

Das wissen auch die Verbreiter von Trojanern und deshalb senden Sie uns eine Email, mit pornografischem Locktext und einem Anhang mit dem Namen video.zip (17.424. Byte). Diese enthält den angeblichen Bildschirmschoner video.scr (29.184 Byte).

Virustotal und alle gängigen Virenkiller kennen die Bedrohung:

AhnLab-V3 2008.1.26.10 2008.01.25 –
AntiVir 7.6.0.53 2008.01.25 TR/Dropper.Gen
Authentium 4.93.8 2008.01.25 W32/Trojan2.UDL
Avast 4.7.1098.0 2008.01.25 –
AVG 7.5.0.516 2008.01.25 SHeur.AOUK
BitDefender 7.2 2008.01.25 Trojan.Peed.IUH
CAT-QuickHeal 9.00 2008.01.25 –
ClamAV 0.91.2 2008.01.25 –
DrWeb 4.44.0.09170 2008.01.25 Trojan.MulDrop.10487
eSafe 7.0.15.0 2008.01.16 –
eTrust-Vet 31.3.5484 2008.01.25 –
Ewido 4.0 2008.01.25 –
FileAdvisor 1 2008.01.25 –
Fortinet 3.14.0.0 2008.01.25 –
F-Prot 4.4.2.54 2008.01.25 W32/Trojan2.UDL
F-Secure 6.70.13260.0 2008.01.25 Trojan:W32/Agent.EFO
Ikarus T3.1.1.20 2008.01.25 Win32.Outbreak
Kaspersky 7.0.0.125 2008.01.25 Trojan-Downloader.Win32.Agent.hzc
McAfee 5215 2008.01.24 –
Microsoft 1.3109 2008.01.25 –
NOD32v2 2823 2008.01.25 –
Norman 5.80.02 2008.01.24 –
Panda 9.0.0.4 2008.01.25 Trj/Spammer.ADX
Prevx1 V2 2008.01.25 Heuristic: Suspicious Hijacker
Rising 20.28.41.00 2008.01.25 –
Sophos 4.25.0 2008.01.25 Troj/Pushdo-Gen
Sunbelt 2.2.907.0 2008.01.25 –
Symantec 10 2008.01.25 Trojan.Pandex
TheHacker 6.2.9.197 2008.01.25 –
VBA32 3.12.2.5 2008.01.21 –
VirusBuster 4.3.26:9 2008.01.25 Trojan.DR.Pandex.Gen.4
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Dropper.Gen

 Tipp: Schädel einschalten!

Wenn eine Email damit lockt, dass Harry Potter es Angelina Jolie in ihren dicken A…. besorgt und das mit einem Video von 17 KB Größe dokumentieren will – kann das wohl stimmen?

Na also!

Kaum ist für die Virenverbreiter „das Weihnachchtsgeschäft“ vorbei, machen sie mit einem neuen Trojaner als Liebesbrief weiter.

withlove.exe heißt die Datei, die von denselben Verursachern verbreitet wird.

Dieses mal haben sie keine viel versprechenden Domains gekauft, sondern verteilen ihre Trojaner über einfache IPs. Wieder findet sich im Quelltext ein Verweis auf Dateinamen wie fck2008.exe und fck2009.exe

Spammails mit Texten wie

Hugging My Pillow http://111.222.333.444/
I Would Dream http://111.222.333.444/ (IPs von virenkiller.de geändert)

versuchen Sie Dumme auf Ihre Seiten zu locken.

Dort steht auch nicht besonders viel.

Ein Herz und darunter:
Your download should begin shortly. If your download does not start
in 10-20 seconds, you can

click here to launch the download
and then press Run. Enjoy!

Der Trojaner scheint relativ neu, kaum jemand erkennt ihn.

Jotti meint dazu:

BitDefender  Trojan.Peed.ITB gefunden 
NOD32  a variant of Win32/Nuwar gefunden

Etwas mehr erkennt Virustotal:

BitDefender 7.2 2008.01.16 Trojan.Peed.ITB
NOD32v2 2795 2008.01.16 a variant of Win32/Nuwar
Prevx1 V2 2008.01.16 Stormy:All Strains-All Variants
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)

Tipps von Virenkiller:

1. Niemals solche Seiten ansurfen. Sie könnten demnächst auch mit Exploits gespickt sein.
2. Diese Dateien nie downloaden. Bezähmen Sie ihre Neugier
3. Melden Sie sich bei unserem Newsletter an, um früh genug von diesen Bedrohungen zu erfahren.

Update 16.1.2008

• Nachdem ich ihn zugesandt habe, erkennt Antivir den Schädling seit etwa 11:00 Uhr.
• Kaspersky muss weiterhin passen
• AVG erkennt ihn
• BitDefender erkennt ihn
• ClamAV und FProt versagen
• GDate versagt mal wieder online, wird ihn aber erkenne, weil es ja die Kaspersky-Engine benutzt.
• NOD und Sophos erkennen ihn, Norman und Panda nicht.

Update 18.1.2008

Es gibt eine neue Version des Trojaners, 115.201 Byte groß.
Name ist weiterhin withlove.exe
Kaspersky (GData), McAfee, Fprot, Antivir erkennen ihn nicht.

Hier die Liste der Scanner, die ihn laut Virustotal erkennen:
AVG 7.5.0.516 2008.01.18 I-Worm/Nuwar.L
BitDefender 7.2 2008.01.18 Trojan.Peed.ITK
ClamAV 0.91.2 2008.01.18 Trojan.Small-4843
Fortinet 3.14.0.0 2008.01.18 W32/PackTibs.L
F-Secure 6.70.13260.0 2008.01.18 Suspicious:W32/Malware!Gemini
Microsoft 1.3109 2008.01.18 TrojanDropper:Win32/Nuwar.gen!A
Prevx1 V2 2008.01.18 Stormy:Worm-All Variants
Symantec 10 2008.01.18 Trojan.Peacomm.D
Webwasher-Gateway 6.6.2 2008.01.18 Win32.Malware.gen!88 (suspicious)

Legt folgende Dateien im System ab:
%System%\burito.ini
%System%\burito5e84-1216.sys 

Verändert Registry-Schlüssel
(Nach BURITO5E84 suchen)

Paypalkunden sollen verlockt werden auf einer in Dänemark liegenden Seite namens palupdate.dk ihre Paypaldaten einzugeben.

Sollte das klappen, ist es für die Verbrecher sicher genauso lohnend, wie in ein Bankkonto einzubrechen. Mit dem Unterschied, dass keine weiteren Sicherheitssperren wie TANs etc. existieren.

VORSICHT: Script!

Man kann davon ausgehen, dass diese Seite auch „virenverseucht“ ist und mithilfe eines sogenannten „Cross-Site-Scripting“ Versuchs (XSS) versucht, Besucher der Seite über Browserlücken anzugreifen, um etwa einen Trojaner zu installieren. Auf jeden Fall gibt Firefox entsprechende Warnungen aus!

Betreff der Mail:
Neu PayPal-Sicherheits-Center 2008

Mailtext:

Neu PayPal-Sicherheits-Center 2008.
Guten Tag,

Die PayPal Sicherheitsabteilung hat ein neues Datenschutzsystem entwickelt.Da zur Zeit die Betrügereien mit den PayPal-Konten von unseren Kunden häufig geworden sind, müssen wir notgedrungn nachträglich eine zusätzliche Autorisation von den PayPal-Kontobesitzern durchführen.
Der Sicherheitsdienst der PayPal traf die Entscheidung,eine neue Sicherung von den Datenvorzunehmen.Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-übertragung, als auch die Kodierungsart der übertragenen Daten erneuert.
Der Vorgang ist jedoch noch nicht abgeschlossen.
Sie müssen auf den Link unten klicken und Ihr Passwort auf der folgenden Seite eingeben, um diese E-Mail-Adresse zu bestätigen.

Klicken Sie hier, um Ihre E-Mail-Adresse zu bestätigen

Sie können Ihre E-Mail-Adresse auch bestätigen, indem Sie sich unter https://www.paypal.com/de/ in Ihr PayPal-Konto einloggen.
Vielen Dank, dass Sie sich für PayPal entschieden haben.
Ihr PayPal-Team

Angeblicher Besitzer ist ein Pelle Schmidt mit einer Postfachadresse.

Virenkiller.de-Rat:

1. Auf keinen Fall ansurfen! Unterdrücken Sie Ihre Neugier!
2. Besorgen Sie sich einen sicheren Browser (Firefox-Download befindet sich rechts im Menü von www.virenkiller.de)
3. Tragen Sie sich in unseren Virennewsletter ein.

Mit einem weihnachtlichen Gruß und einer angeblich anhängenden Weihnachtskarte versucht sich ein kleiner Trojaner im Januar 2008 zu verbreiten.

Immerhin: In Japan kursierte diese Mail bereits um Weihnachten herum – nicht dass die Japaner Weihnachten feierten… :-)

Mailtext:
Good Day, dear!

Jane sent you eCard with greetings.
Check your attachment ;)
Merry Christmas!

Best Regards.

Daran hängt eine ZIP-Datei mit dem Namen eCard.exe, die nur 16.892 Byte groß ist und ihrerseits die Datei eCard.exe enthält (18.160 Byte)

Jotti und Virustotal erkennen den Virusbefall, aber eben leider nicht alle Scanner.

Analyse von Virustotal:
http://www.virustotal.com/de/analisis/53afd7f6894492eeba7706e47316f284

Analyse von Jotti

A-Squared  Keine Viren gefunden
AntiVir  Keine Viren gefunden
ArcaVir  Trojan.Pakes.Byc gefunden 
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Trojan.Pandex.AC gefunden 
ClamAV  Trojan-Small gefunden 
CPsecure  Keine Viren gefunden
Dr.Web  BackDoor.Bulknet.118 gefunden 
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Trojan.Win32.Pakes.byc gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Virus.Trojan.Win32.Pakes.byc gefunden 
Kaspersky Anti-Virus  Trojan.Win32.Pakes.byc gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Rising Antivirus  Keine Viren gefunden
Sophos Antivirus  Troj/Pushdo-F gefunden 
VirusBuster  Trojan.DR.Pandex.Gen.4 gefunden 
VBA32  Keine Viren gefunden

Derzeit versuchen wieder einige Virenverbreiter, den Anlass des Jahreswechsels dazu zu verwenden, ihre Trojaner in der Welt zu verbreiten.

Dieses Mal haben sie sich einige „passende Domains“ gesichert, um angebliche elektronische Neujahrspostkarten zu versenden, hinter denen sich aber in Wirklichkeit ein Trojaner verbirgt.

Unter Domainnamen wie

uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
freshcards2008.com

Update

Neu hinzugekommen:
http://hohoho2008.com/ mit happy_2008.exe
http://hellosanta2008.com
http://parentscards.com
http://santapcards.com/

Und täglich kommen neue Domains für den Sturm-Trojaner hinzu:
http://merrychristmasdude.com/ (3.1.2007)
http://santawishes2008.com/ (4.1.2007)
http://HAPPY2008TOYOU.COM (4.1.2008)
http://postcards-2008.com (4.1.2008)

verbreiten Sie die Dateien mit Namen wie:

happy-2008.exe
happynewyear2008.exe
jeweils 143.873 Byte groß

Auskommentiert auf den Webseiten sind auch Namen wie
fck2008.exe und fck2009.exe

Viele Scanner erkennen die Gefahr bereits und identifizieren den Virus als

TR/Crypt.XDR.Gen
W32/Dropper.gen6
Win32:Zhelatin-ASX
W32/Tibs.G@mm

Die Domains selbst haben gar keinen Inhalt außer einem englischsprahigen Hinweis

Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!

Auch die Emails sind sehr primitiv. Das Betreff lautet beispielsweise „Message for new year“ und der Inhalt:

As you embrace another new year
xxxx://newyearcards2008.com/

Update 30.12.2007:
Es wird eine neue version der Mail verschickt, die etwas mehr „personalisiert“ wurde, indem man dem Spruch als Anrede die Emailadresse des Empfängers hinzufügt.

Happy New Year To name@emailadresse.tld!
http://freshcards2008.com/

Jotti meint dazu:

A-Squared: Keine Viren gefunden
AntiVir: TR/Crypt.XDR.Gen gefunden:
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Dropper.Generic.TNQ gefunden:
BitDefender: Trojan.Peed.IRM gefunden:
ClamAV: Keine Viren gefunden
CPsecure: Keine Viren gefunden
Dr.Web: Trojan.Spambot.2556 gefunden:
F-Prot Antivirus: Keine Viren gefunden
F-Secure Anti-Virus: Email-Worm:W32/Zhelatin.PS gefunden:
Fortinet: Keine Viren gefunden
Ikarus: Keine Viren gefunden
Kaspersky Anti-Virus: Email-Worm.Win32.Zhelatin.pv gefunden:
NOD32: Win32/Nuwar.BE gefunden:
Norman Virus Control: Keine Viren gefunden
Panda Antivirus: Keine Viren gefunden
Rising Antivirus: Keine Viren gefunden
Sophos Antivirus: Mal/Dorf-H gefunden:
VirusBuster: Trojan.DL.Tibs.JO gefunden:
VBA32: Keine Viren gefunden

Und der Onlinescan?

Bei Virustotal und Jotti erkennen den Virus die meisten Scanner. Auch von den Scannern auf unserer Seite http://www.virenkiller.de/onlinevirenscanner erkennen Ihn – bis auf Norman(!) – alle zuverlässig.

Update

Auf der Seite http://www.threatexpert.com/report.aspx?uid=1c717d77-f5ea-4627-86fe-dc164d924dab gibt es eine ziemlich gute Analyse des Verhaltens dieses Trojaners. Insbesondere auch der Dateien, die noch angelegt werden, wie oriieke7cb3f68.sys und oriieke.ini.

Drauf gekommen bin ich durch das totale Versagen des Norman-Scanners, der zwar immerhin feststellt, dass diese Dateien angelegt werden, daraus aber auch am 4.1. noch keinerlei Schlüsse auf Malware zieht :-)

Mit einem Schock lassen sich viele dazu verleiten, gefährliche Emails zu öffnen, verseuchte Webseiten zu besuchen. Damit versuchen es auch diese Virenversender.

Mit der Behauptung, man habe einen relativ großen Geldbetrag vom Konto des Mailempfängers abgebucht, wollen sie und dazu bringen, einen angeblichen Kontoauszug zu downloaden.

Dieser ist scheinbar auch ungefährlich. Handelt es sich doch augenscheinlich um eine PDF-Datei.

Tatsächlich aber wird eine Datei mit dem Namen

billing-rechnung-182192711-1.pdf                                                                  .exe 

gedownloadet. Wichtig dabei: Es ist eine (ausführbare) Exe-Programmdatei. Aber die Endung Exe ist nicht zu sehen, wegen der vielen Leerzeichen.

Ebenfalls geschickt ist die Tatsache, dass in der Mail der Empfänger „persönlich“ angesprochen wird. Dazu nutzt der Versender den Teil der Email vor dem @-Zeichen. Aus Mayer@virenkiller.de würde also „Sehr geehrter Mayer“.

Der Absender hat aber Probleme mit den Umlauten und schreibt Zahlen auch in der englischen Notation. Statt – wie im deutschen Sprachraum – 497,50 zu schreiben, schreibt er 497.5, da im englischen Sprachgebiet der Punkt statt des Kommas die Cent von den Euro trennt.

Der Server ist in Hongkong, der Nameserver ist russisch.

Absender: Euro Imperial Casino

Betreff: Es wurden von Ihrer Karte EUR 497.5 abgebucht

Mailtext:

Sehr geehrter [Name des Mailempfängers],Ihre Einzahlung #670821 bei EuroImperial IC wurde erfolgreich ausgeführt.
Ihrem Spielkonto wurden EUR 497.5 gutgeschrieben. Sollten Sie mit der Kreditkarte
bezahlt haben, finden Sie diese Zahlung im Kontoauszug unter ‚0673 EUROIMPERIAL CY‘
Der Auszug kann von unserer Webseite heruntergeladen werden:
http://www.euroimperial.ws/ ab hier gelöscht ab hier gelöschtWir bedanken uns sehr, daß Sie bei unserem Casino gespielt haben.Barbara von Bollendorf
Promotions Manager
EuroImperial CasinoHier leben Sie Luxus!————————————-

Fur AGBs: http://www.euroimperial.ws/en/promotions/general-terms-conditions.html
E-Mail (Allgemein / english): support@euroimperial.ws
E-Mail (Deutsch): support-de@euroimperial.wsEuro Imperial Casino
P.O. Box 3422
Makati Central Post Office 1274
Makati City 18731, Manila, Philippines
 

Ergebnis des Virenscans

Virustotal:
AhnLab-V3 2007.9.22.0 2007.09.21 –
AntiVir 7.6.0.15 2007.09.21 –
Authentium 4.93.8 2007.09.21 W32/Downloader.gen10
Avast 4.7.1043.0 2007.09.22 –
AVG 7.5.0.485 2007.09.22 Downloader.Generic6.HVY
BitDefender 7.2 2007.09.22 –
CAT-QuickHeal 9.00 2007.09.21 –
ClamAV 0.91.2 2007.09.22 –
DrWeb 4.33 2007.09.22 –
eSafe 7.0.15.0 2007.09.19 –
eTrust-Vet 31.2.5154 2007.09.21 –
Ewido 4.0 2007.09.20 –
FileAdvisor 1 2007.09.22 –
Fortinet 3.11.0.0 2007.09.22 –
F-Prot 4.3.2.48 2007.09.21 W32/Downloader.gen10
F-Secure 6.70.13030.0 2007.09.21 W32/Downloader
Ikarus T3.1.1.12 2007.09.22 –
Kaspersky 4.0.2.24 2007.09.22 –
McAfee 5125 2007.09.21 –
Microsoft 1.2803 2007.09.22 TrojanDownloader:Win32/Small.gen!O
NOD32v2 2544 2007.09.21 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.09.21 W32/Downloader
Panda 9.0.0.4 2007.09.22 Suspicious file
Sophos 4.21.0 2007.09.22 Mal/TinyDL-L

Update:
Avira (Antivir) gab unserer Einsendung den Namen TR/Dldr.Nurech.CE.
Mit dem Update vom 24.9. wird der Trojaner erkannt.

Antivir erkennt ihn nicht und auch bei Jotti (http://virusscan.jotti.org/de/) bzw. Virustotal (http://www.virustotal.com/de/) erkennen ihn nur wenige…

Die Rede ist von einem Trojaner, der seinen weiteren Code aus dem Internet downloadet.

Die Gefahr dürfte zumindest im deutschen Sprachraum relativ gering sein, da die Mail englisch ist und der (angebliche) Absender niemandem bekannt sein dürfte und auch nichts mit dem „Unterzeichner“ der Mail zu tun hat.

Der Betreff lautet:

You ask me about this game, Here is it

Der Mailtext:

Good Day, man!Anna sent you animated card. You can check this in your attachment.Best regards,
Your Funny Cards. 

Als Anhang hat die Mail eine Datei namens Card.zip, die wiederum eine card.exe enthält (20.992 Byte).

Laut Jotti und Virustotal enth#ält diese den Pandex.gen

Virustotal hat mehr Treffer:

ClamAV 0.91.2 2007.09.21 Trojan.Downloader-13920
F-Secure 6.70.13030.0 2007.09.21 Pandex.gen
Ikarus T3.1.1.12 2007.09.21 Win32.Outbreak
Norman 5.80.02 2007.09.20 Pandex.gen
Sophos 4.21.0 2007.09.21 Troj/Pushdo-C

Die Mail sollte umgehend gelöscht werden. Keinesfalls die ZIP-Datei öffnen oder die Programmdatei starten!

Diese Warnung gab es ganz aktuell übrigens auch in unserem Virennewsletter von http://www.Virennewsletter.de!

Einfach hier rechts im Menü anmelden!

UPDATE:
Nach unserer Zusendung hat man bei Avia (Antivir) dem Trojaner den Namen Worm/Ntech.I gegeben. Ein aktuelles Update am 21.9.2007 um 10:30 Uhr erkannte den Virus dann auch.

In letzter Zeit versuchen die Virenverbreiter auch noch de dümmsten unter den Internetsurfern zu bekommen.

Dazu reicht scheinbar eine Mail bei der im Betreff Quick, grab this (Schnell, schnapp Dir das) steht.

Die Mail selbst besteht aus nicht mehr als dem Wort Check, gefolgt von einer IP-Adresse.

Keinerlei verlockende Angebote. Keine Hinweise auf das Ziel. Nichts.

Landet man dann dort, sieht man eine einigermaßen professionell gemachte Seite, welche mehr als 1000 kostenlose Spiele verspricht. Ein anständiger Browser wie Firefox warnt sofort davor, dass es sich bei dieser Seite mit ziemlicher Sicherheit um einen Betrugsversuch handelt.

Auffällig ist der dicke Downloadbutton. Und ein Download bringt dann tatsächlich auch etwas:

1. Eine Datei namens ArcadeWorld.exe
2. Einen Trojaner-Virus!

Knapp 147 kb groß ist die Datei, die aktuelle Virenscanner sofort als Trojaner erkennen.

Virustotal sagt dazu:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.19.0 2007.09.19 –
AntiVir 7.6.0.10 2007.09.19 Worm/Storm.tcs
Authentium 4.93.8 2007.09.18 –
Avast 4.7.1043.0 2007.09.18 Win32:Tibser
AVG 7.5.0.485 2007.09.18 Downloader.Tibs
BitDefender 7.2 2007.09.19 Trojan.Peed.IJX
CAT-QuickHeal 9.00 2007.09.18 (Suspicious) – DNAScan
ClamAV 0.91.2 2007.09.19 Trojan.Small-4082
DrWeb 4.33 2007.09.19 Trojan.Packed.142
eSafe 7.0.15.0 2007.09.17 Suspicious Trojan/Worm
eTrust-Vet 31.2.5146 2007.09.19 –
Ewido 4.0 2007.09.18 –
FileAdvisor 1 2007.09.19 –
Fortinet 3.11.0.0 2007.09.19 W32/PackTibs.C
F-Prot 4.3.2.48 2007.09.18 –
F-Secure 6.70.13030.0 2007.09.19 Packed.Win32.Tibs.by
Ikarus T3.1.1.12 2007.09.19 –
Kaspersky 4.0.2.24 2007.09.19 Packed.Win32.Tibs.by
McAfee 5122 2007.09.18 Tibs-Packed
Microsoft 1.2803 2007.09.19 Trojan:Win32/Tibs.EI
NOD32v2 2540 2007.09.19 Win32/Nuwar.Gen
Norman 5.80.02 2007.09.18 Tibs.gen158
Panda 9.0.0.4 2007.09.19 –
Prevx1 V2 2007.09.19 –
Rising 19.41.20.00 2007.09.19 –
Sophos 4.21.0 2007.09.19 Mal/Dorf-D
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Symantec 10 2007.09.19 Trojan.Packed.13
TheHacker 6.2.5.061 2007.09.17 –
VBA32 3.12.2.4 2007.09.18 –
VirusBuster 4.3.26:9 2007.09.18 Trojan.Tibs.Gen!Pac.132
Webwasher-Gateway 6.0.1 2007.09.18 Worm.Storm.tcs
 

Tipps:
Was soll man da schon für einen Tipp geben? Die Mail kommt von einer unbekannten Emailadresse, einer unbekannten Person. Sie enthält ein englisches Betreff und im Mailtext selbst nur den „Befehl“, eine dubiose IP-Adresse anzusurfen…

So was löscht man sofort!

Und ansonsten: Immer schön die Virenscanner aktuell halten!

Der Wunsch nach mehr Anonymität im Internet wird nicht nur bei Kriminellen größer. Seit paranoid wirkende Politiker das Grundgesetz untergraben, das zu schützen sie eigentlich angetreten waren, will auch „Otto Normalsurfer“ etwas unsichtbarer sein.

Eine Möglichkeit dazu bietet das „Tor Netzwerk“ ( http://de.wikipedia.org/wiki/Tor_%28Netzwerk%29 ).

Und will man es nicht installieren oder ab und zu auch mitnehmen, empfehlen sich sogenannte „portable Lösungen“, die auch auf einem USB-Stick funktionieren, wie etwa „PortableTor“.

Doch dieses macht in den letzten Tagen mehr und mehr Anwender misstrauisch. Mehrere Virenscanner, darunter auch Aviras Antivir, melden beim Start der Anwendung einen Virus.

Onlinescans bei Jotti oder Virustotal melden ebenfalls häufig einen Befall durch einen Trojaner.

Gemeldet werden z.B.: VBS/Runner.8192, TR/Drop.Agent.opr, Trojan.Dater, Trojan.Drop.Agent.opr.

Im Netz sind dazu noch keine Warnungen zu finden. Auch auf der Projektseite selbst ist alles eitel Freude und Sonnenschein…

Doch die Erfahrung zeigt, dass es bei solchen Warnungen besser ist, erst einmal abzuwarten und den Einsatz des Programms auszusetzen. Und genau das empfehle ich.

Eine Mail die angeblich von einem Ebay-Shop stammt, versucht mal wieder auf eine virenverseuchte Seite bei Geocities zu locken.

Betreff:
Das spezielle Geschenk zum Kauf.

Mailtext:

Unsere herzlichsten Glückwünsche. Sie sind der Käufer #10.000 in unserem Geschäft, deshalb schenken wir Ihnen ein Geschenk. Welcher? Bitte, folgen Sie dem Link http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&Item=220133405551&Category=133515 und erfahren Sie das. Wir danken Ihnen für die Benutzung der Dienstleistungen unseres Geschäftes. Kaufen Sie bitte noch.

Soweit der „normale“ Mailtext. In der HTML-Version versucht man den Leser auf eine Virenverseuchte Seite zu locken.

Vorsicht, auf keinen Fall ansurfen!!!

Warnung vor gefälschten Telekom-Mails (T-Mobile)

Der Newsticker des Heiseverlags warnt vor gefälschten Mails von T-Mobile.

Diese locken den Empfänger mit Gutschriften aus dem SMS-Konto.

Betreff der Mails:

Betr.: Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben

Der Text der Mail lautet:

Die Gesellschaft „T-Mobile“ dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefonsimmer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier http://www.t-mobile.de/mein-t-mobile/0,9703,14244-_,00.html anschauen. Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.

Ein Link in der Mail führt dann allerdings nicht auf eine T-Mobileseite, sondern wieder mal auf eine virenverseuchte Webseite, die dem Besucher durch einen nicht wahrnehmbaren Iframe durch Javascripte gefährliche Trojaner unterzuschieben versucht. Iframes nennt man die Technik, in normale Webseiten offen oder versteckt Inhalte anderer Webseiten einzubetten.

Erfolgversprechend dürfte so eine Mail ohnehin eigentlich nur bei Kunden von T-Mobile sein, aber man weiß ja nie.

Kompletter Text von heise:

http://www.heise.de/newsticker/meldung/93118

Auch T-Mobile selbst warnt:

http://www.t-mobile.de/virenwarnung

Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de

Mit dem Betreff:

Internet Explorer 7.0 Beta

sowie dem Absender

admin@microsoft.com admin@microsoft.com 

trudeln derzeit Viren über uns herein.Die Mail selbst enthält eigentlich nur diese Grafik

Sie verlinkt auf eine nur knapp 4.600 Byte große Datei namens „update.exe“.

Dabei handelt es sich um einen Trojaner, der von einem brasilianischen Server verteilt wird.

• Mail sofort löschen
• Datei nicht anklicken
• Virenscanner updaten!

Der Online-Virenscan von Virustotal meint dazu:

Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de

Es kursiert eine virenverseuchte Mail, die vorgibt, aufgrund einer Durchsuchung des Rechners mit dem sogenannten Bundestrojaner illegale Daten aus Tauschbörsennutzung gefunden zu haben.

Betreff:

Aktenzeichen [57940995]
Aktenzeichen [08038143]
Onlinedurchsuchung NR-[90587231]
Aktenzeichen [zufällige Zahl]

Mailtext:

Sehr geehrter Internetnutzer,im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: 81.187.113.176

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – 970738
Fax: 06131 – 970731
Mobil: 0171 – 7504699
Mail: Hcklein51@aol.com

An der Mail befindet sich ein Anhang namens

nr-[57940995].zip (NR-[08038143].zip) (Die Zahl korrespondeirt immer mit der im Betreff)der wiederum die Datei „Aktenzeichen.exe“ beinhaltet (mit Icon einer PDF-Datei)

Antivir kennt ihm am 5.5.07 nicht… Während die Onlineversion einen Trojaner erkennt.Jotti sagt:

Virustotal sagt:

Recht primitiv gemacht, aber dennoch für den einen oder anderen Neugierigen gefährlich ist eine neue gefälschte Rechnung. Dieses mal stammt sie angeblich von der Firma Mindfactory AG (shop@mindfactory.de).

Der Text ist ähnlich sparsam wie in ähnlichen Mails letzter Zeit. Allerdings hängt an dieser Mail weder ein Virus noch eine Grafik. Vielmehr handelt es sich wieder einmal um den Versuch, ein Exploit des Internet Explorers beim Besucher zu installieren. Es handelt sich um das selbe Script auf demselben Malaisischen Server wie bereits unter http://www.virenkiller.de/archives/43 beschrieben.

Betreff:

Betreff: Vielen Dank fur den Kauf

Text der Mail:

Guten Tag! Vielen Dank für den Kauf in unserem Shop. Es wurde von Ihrem Konto der Betrag in Höhe von EUR 147 abgebucht. Die Kontobilanz sowie den Kaufzettel können Sie hier abrufen: http://geocities.com/xxxxxxxxxgelöscht

Auch hier geht es auf den verseuchten Server 203.223.158.26

Beim Besuch des Links bekommt man eine gefälschte Fehlermeldung präsentiert. Das Virenscript installiert sich über einen 1 Pixel großen iFrame.

Heise berichtete über diese Mails unter http://www.heise.de/newsticker/meldung/89203

Das Muster ist immer dasselbe. Sogar der Verursacher ist derselbe, weil er definitiv mit Viren auf dem Server 203.223.158.26 arbeitet.

Im Mailpostfach tauchen scheinbar völlig harmlose Mails auf, die mit Billigangeboten locken. Meist ziemlich zusammengeschustert, aber ganz eindeutig nicht aus Deutschland stammend, wenngleich man die Sprache des Textes als deutsch bezeichnen könnte.

Derzeit lockt beispielsweise eine Mail mit spottbilligen Flügen der Fluggesellschaft Air Berlin. Das Betreff lautet:

Interessanter Angebot von „Berliner Airlines“

So so, DER Angebot, hmm? :-)

Weiter gehts mit der Radebrecherei:

Achtung! In diesem Sommersaison fuehrt die Gesellschaft  „Berliener Airlines“ eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http://XXXXXXXXX.biz/

Gut, das alles scheint (und ist) ja soweit ungefährlich. Personen mit einem IQ über 75 erkennen vermutlich auch sofort, dass es sich um Unsinn handelt. Nichtsdestotrotz weckt die Mail vielleicht bei dem einen oder anderen die Neugier. Mal sehen, was die denn wirklich verkaufen wollen…

Die wollen gar nichts verkaufen!

Folgt man dem Link, so landet man bei einer seltsamen, harmlos scheinenden Seite aus Korea. Der Trick liegt in einem eingebetteten Frame (iFrame), der eine Seite nachlädt, die wiederum ein hinterhältiges Javascript enthält. Dieses Javascript versucht, bekannte Exploits des Internetexplorers nachzuladen, um so die Kontrolle über Ihren Rechner zu bekommen.  

OK, was kann man dagegen tun?

Das ist relativ einfach zusammenzufassen:

1. Immer alle aktuellen Updates von Windows/Internet Explorer laden! 
2. Hirn einschalten! Die Air Berlin bietet nichts auf einer Seite an, die eine Topleveldomain biz hat und schon im Namen das Wort Korea.
3. Merken: Nach neusten Untersuchungen sidn 80% aller Seiten unter .INFO bzw. .BIZ Virenschleudern.
4. Javascript abschalten bzw. einen anderen Browser benutzen. Rechts neben diesem Artikel finden Sie die Hinweis-Box mit einem Link zu einem optimierten Firefoxbrwoser mit Googlefunktionen. Auf den wirken diese Exploits gar nicht!
5. Einen Spamfilter benutzen.

Nochmal: Bitte nutzen Sie einen Spamfilter. Folgen Sie niemals Links in Spammails. Entweder holen Sie sich damit Schädlinge in den Rechner oder sie bestätigen den Spammern Ihre Emailadresse.

Nutzen Sie einen Browser wie Firefox (Link dazu rechts in der Hinweisbox)

Nicht besonders fleißig ist der Idiot, der uns gerade mit seinem Versuch überschwemmt, seinen Trojaner loszuwerden.

Mit Absendern, die auf amerikanischen Vornamen und beliebigen Emailadressen bestehen
(z.B. Carly Alvin@c2i.net) und mit spartanischen Betreffs wie

RE: Vertrag
RE: Dokument

schickt er uns eine einzeilige Mail und einen gezippten Anhang, wie etwa 71933.zip.

Mailtext:

Hiermit erhalten Sie die angeforderten Unterlagen
   mfG 

Die gezippte Datei entält den Trojaner (mit eingearbeitetem PDF-Icon) unter dem Namen Vertrag.doc.exe.

Es handelt sich um einen Trojaner der Nurech-Familie, der seinen eigentlichen Schadcode aus dem Internet nachladen will.

Jotti sagt dazu

Man kanns ja mal probieren, dachte sich offensichtlich der Verbreiter eines neuen Virus und tarnte diesen als angebliche Rechnung für ein angeblich gekauftes Antivirenprodukt der Firma Avira.

Das Betreff lautet:

Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten

Absender der Mail ist angeblich:

cleverbridge / Avira GmbH. (mailer@cleverbridge.com)

Auch als:
auto@cleverbridge.com
mailer@cleverbridge.com
automailer@cleverbridge.com
lists@cleverbridge.com
support@cleverbridge.com
tech@cleverbridge.com
cle@cleverbridge.com
maillist@cleverbridge.com

Anhänge an der Mail heißen z.B. 595169.zip und enthalten dann eine ausführbare Datei namens

HBEDV.KEY.exe

Bei dieser hat sich der Programmierer dieses Mal nicht einmal die Mühe gemacht, sie mit einem passenden Icon zu tarnen. Es soll sich hierbei um einen Vollversionskey für „Avira AntiVir PersonalEdition Premium“ handeln.

In der Mail befindet sich auch ein Link auf eine PDF-Datei. Dabei handelt es sich tatsächlich um eine PDF-Datei, die eine Rechnung für einen Amerikaner darstellt. (Originallink von Virenkiller.de geändert!)

https://avira.cleverbridge .com/inv oice/4T 602 JI1W TV04A 284FD1/CB -30-94308.pdf

Ganz offensichtlich handelt es sich mal wieder um einen Vertreter der Nurech-Trojanerfamilie.

Der Mailtext:

Vielen Dank für Ihre Bestellung bei cleverbridge.

cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.

Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.

Ihre cleverbridge Referenznummer: 595169

Zahlungsinformationen

Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von „www.avira.com“ erscheinen wird.

Ihre Produkte

Menge Produktname Auslieferung
1 Avira AntiVir PersonalEdition Premium – 5 JahreLizenzlaufzeit 5 Jahre elektronisch
Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner „Eigene Dateien“
Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren. Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:

 – Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
 – Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter: Avira AntiVir PersonalEdition Premium herunterladen
 – Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner „Eigene Dateien“. Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
 – Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen: Installationsanleitung anzeigen

WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.

1 Zuwendung an die Auerbach Stiftung

Ihre Rechnung

Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:

Ihre Rechnung

Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den „Adobe Acrobat Reader“, um es öffen zu können. Sollte der „Adobe Acrobat Reader“ nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.

Fragen oder Anregungen?

Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.

Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html

Mit freundlichen Grüßen,
Ihr cleverbridge Kundenserviceteam

Pikanterweise kann Antivir selbst derzeit (23.4.2007) den Virus selbst nicht erkennen.

Der Onlinescan bei Jotti ergab:

Und Virustotal fand folgendes:

Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de

Update, 23.4.2007 / 10:20 Uhr
Avira hat schnell mit einem Update reagiert

Ab sofort haben wir unseren bewährten Newsletter (über 6.500 Abonnenten) vom Portal Virenkiller.de getrennt und ihm eine eigene Webseite spendiert.

Wir haben festgestellt, dass die Zahl der Newsletterempfänger zwar stetig angestiegen ist, diese aber nicht zwangsläufig auch die Informationen auf Virenkiller.de nachlesen. Das führte uns zu dem Schluß, dass sich die Leser zwar sehr wohl für die zusammengefassten Informationen der kostenlosen Newsletter-Emails interessieren, damit aber eben auch zufrieden sind.

Darum also haben wir jetzt die Webseite http://www.Virennewsletter.de ins Leben gerufen. Hier erwarten unsere Newsletterempfänger immer die aktuellen Virenwarnungen, sobald wir über neue Informationen verfügen.

Selbstverständlich bleibt das Angebot weiterhin absolut kostenlos!

Die bisherigen Empfänger wurden in die Datenbank der neuen Seite überführt und davon unterrichtet. Hier, auf Virenkiller.de, werden wir auch zukünftig über Virenbedrohungen ausführlicher berichten.

Der Newsletter wird in einem sogenannten OptIn/OptOut-Verfahren versendet. Das bedeutet, dass man dem Empfang der Email anfangs einmal durch einen Klick in der Bestätigungsemail zustimmen muß. In jedem Newsletter wird sich dann ein bequemer Link zum Austragen befinden.

Es kursiert eine neue variante der Ebay-Mail (siehe auch http://www.virenkiller.de/archives/21 ) mit dem Absender

Der Inhalt der Mail ist identisch – inklusive der Fehler. Das Betreff lautet:

Ihre Ebay E-Mail wurde geandert
oder
Ebay: Sie haben Ihre Email Adresse geanderter
oder auch
Ihre Ebay E-Mail wurde geandert 

Allein die Umlautfehler lassen schon darauf schließen, dass der Text der Mail kopiert wurde, der Versender aber versucht, eine gewisse Varianz ins Betreff zu bringen, jedoch über keine Umlaute in der Tastatur verfügt.

Die Namen der gezippten Anhänge (etwa 8 kb) setzen sich aus Ziffern zusammen, wie etwa

2864046.zip
23430093.zip
2803071.zip 

Darin befindet sich eine ausführbare Trojanerdatei namens Ebay.doc.exe (komplett mit Word-Icon)

Der Mailtext:

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Vielen Dank,
eBay
——————————————————————

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright   2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
——————————————————————
Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

 Nicht alle Scanner kennen die Variante, einige Onlinescanner schlagen Alarm.

Jotti meint:

Und Virustotal meint:

Diese und ähnliche Warnungen per Email?
http://www.virenkiller.de/newsletter/

Update vom 24.5.2007:Eine Kopie des untenstehenden Schreibens kommt nun angeblich von einer „Rechtsanwaltsgesellschaft Thieler “ . Der Anhang ist wieder mit einem Trojaner verseucht, den aber die aktuellen Virenscanner problemlos entdecken. Dämlicherweise ist die Kopie dieses Schreibens so schlecht, dass es sogar noch mit „Olaf Tank“ – dem Namen des angeblichen Absenders der vorherigen Mail – unterschrieben ist.

Kleine Ironie am Rande:
Rechtsanwalt Tank konnte den beiden Gebrüdern Schmidtlein offensichtlich nicht vor dem Landgericht Darmstadt helfen: http://www.heise.de/newsticker/meldung/90126

Mit dem Betreff

Forderung AZ: 264812/09

kommt von einem Absender

Anwaltskanzlei Tank (anwalt@forderungseinzug.de)

eine gefälschte Rechnung ins Haus geflattert. Ein Anhang namens Rechnung.zip einthält eine ausführbare Virusdatei namens O_rechnung.pdf.exe.

Der Inhalt der Email ist aus vielen Gründen unsinnig. Wengleich es den Absender sowie die angeblichen Rechnungssteller wirklich gibt. Für Rechtsanwalt Tank und die Gebrüder Schmidtlein findet das Internet und die Presse nur harte Worte (Beispiele:
http://www.verbraucherzentrale-bremen.de/themen/verbraucherrecht/schmidtlein.html
http://www.verbraucherzentrale-bremen.de/themen/verbraucherrecht/kostenfallen-im-internet.html
)

Hier kam die Mail am 11.4.2007 an, abgeschickt wurde sie laut Emailtext aber erst am 31.4.2007 (der April hat nur 30 Tage :-) )

Solche Anwaltsrechnungen dürfen natürlich um gültig zu sein NICHT per Email versandt werden. Die angebliche Verursacher-IP ist in Nigeria.

Sehr geehrte Kunde,hiermit zeige ich die Interessenvertretung der Firma Andreas & Manuel Schmidtlein GbR, Vor der Hube 3, D 64572 Büttelborn an. Ordnungsgemäße Bevollmächtigung wird anwaltlich versichert. Meine Mandantschaft macht gegen Sie folgende Forderung geltend:Rechnung vom 15,08,2006 aus Dienstleistungsvertrag mit der Rechnungsnummer R270665 für die Anmeldung vom 29,07,2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mit folgender Anmelde-IP: 217.083.187.57. Sie schulden meiner Mandantschaft daher 110,00 EUR. Da Sie sich in Verzug befinden, sind Sie gegenüber meiner Mandantschaft verpflichtet, die durch meine Tätigkeit entstandenen Gebühren zu erstatten.Das Originalrechnung finden Sie im Anhang als signierte PDF Datei.
Bitte behalten Sie das Original Rechnung unbedingt für Ihre Unterlagen. Liquidation:1,3 Geschäftsgebühr, Nr. 2300 VV 965,50 EURAuslagenpauschale, Nr. 7002 VV X,50 EURGesamtsumme 302,00 EURDer von Ihnen zu zahlende Gesamtbetrag beläuft sich somit auf 335,00 EUR.Ich fordere Sie auf, den Gesamtbetrag, innerhalb einer Frist von 10 Tagen, also bis zum09.04.2007 (hier eingehend)

Viele Viren und Trojaner, aber auch eine Menge lästiger Programme, wie etwa das Startmodul von Quicktime, installieren sich ungefragt in den Autostart von Windows.

Ergebnis ist, dass diese Programm dann bei jedem Neustart mehr oder weniger unbemerkt gleich mitgestartet werden. Das stellt also einen folgenschweren Eingriff in die Ssystemsicherheit von Windows dar. Und trotzdem gibt das Betriebssystem darüber keine Meldung aus.

Werkzeuge wie das bekannte Tool Spambot Search & Destroy bringen auch gleich ein Überwachungsprogramm für die Autostarteinträge mit. Aber mag es an meinem Monitor liegen oder an Programmierfehlern: Dieses Teil meldet zwar brav alles, aber ich erreiche nicht mal die Buttons richtig. :-(

Da ist ein winziges und schon ziemlich altes Winzigtool doch wesentlich besser geeignet. Die Rede ist von Mike Lins Tool Startup Monitor.

Das kleine kostenlose Freeware-Programm installiert sich problemlos und überwacht fortan den Versuch jedes Programms und jeder Installation, sich selbst in die Autostartgruppe einzutragen. Ist das der Fall, so meldet sich der Startup Monitor und bietet an, diesen Eintrag zu verbieten oder zuzulassen.

Meiner Meinung nach gehört das zur Grundausstattung eines sicheren Rechners.

Zur Homepage

Wenn man einen Virus einschleusen will, dann muss dieser ein paar Regeln erfüllen

• Er muß so neu sein, dass ihn keiner erkennt 
• Er muß unverdächtig sein
• Er muß unbemerkt arbeiten

Diese Regeln erfüllt ein Virus, der jetzt auf meinem Testsystem aufgeschlagen ist.

Die 225.280 Byte große Datei trägt den harmlosen Namen svchost.exe. Diesen Namen trägt auch eine wichtige Systemdatei von Windows.

Sie legt sich ab unter C:\Windows\svchost.exe

Netter Versuch… aber korrekterweise gehört diese Datei ins Systemverzeichnis von Windows! Und nicht in den Windows-Hauptordner selbst.

Und dann trägt sich das Teil doch frecherweise in die Autostartgruppe ein…

Das machte den Virus verdächtig. Ebenfalls verdächtigt war dann, dass diese Datei so neu war, was das Erstellungsdatum betrifft. Sie sollte schon so alt wie Windows sein.

Virustotal jedenfalls schlug Alarm:

Antivirus	Version	Update	Result
AhnLab-V3	2007.3.22.0	03.21.2007	no virus found
AntiVir	7.3.1.44	03.21.2007	no virus found
Authentium	4.93.8	03.20.2007	no virus found
Avast	4.7.936.0	03.21.2007	no virus found
AVG	7.5.0.447	03.21.2007	no virus found
BitDefender	7.2	03.21.2007	no virus found
CAT-QuickHeal	9.00	03.20.2007	no virus found
ClamAV	devel-20070312	03.21.2007	no virus found
DrWeb	4.33	03.21.2007	no virus found
eSafe	7.0.14.0	03.20.2007	no virus found
eTrust-Vet	30.6.3497	03.21.2007	no virus found
Ewido	4.0	03.21.2007	no virus found
FileAdvisor	1	03.21.2007	no virus found
Fortinet	2.85.0.0	03.21.2007	suspicious
F-Prot	4.3.1.45	03.20.2007	no virus found
F-Secure	6.70.13030.0	03.21.2007	W32/Malware.LZM
Ikarus	T3.1.1.3	03.21.2007	no virus found
Kaspersky	4.0.2.24	03.21.2007	no virus found
McAfee	4988	03.20.2007	no virus found
Microsoft	1.2306	03.21.2007	no virus found
NOD32v2	2132	03.21.2007	no virus found
Norman	5.80.02	03.21.2007	W32/Malware.LZM
Panda	9.0.0.4	03.21.2007	Suspicious file
Prevx1	V2	03.21.2007	no virus found
Sophos	4.15.0	03.13.2007	no virus found
Sunbelt	2.2.907.0	03.16.2007	VIPRE.Suspicious
Symantec	10	03.21.2007	no virus found
TheHacker	6.1.6.078	03.20.2007	no virus found
UNA	1.83	03.16.2007	no virus found
VBA32	3.11.2	03.21.2007	no virus found
VirusBuster	4.3.7:9	03.21.2007	no virus found
Webwasher-Gateway	6.0.1	03.21.2007	Virus.Win32.FileInfector.gen (suspicious)

Aditional Information
File size: 225280 bytes
MD5: c182282c37890c6878a9304962d6d137
SHA1: bf7a5e4b86c05510eca42b9f66276b381d028109
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Jotti leider nicht so

AntiVir	Keine Viren gefunden
ArcaVir	Keine Viren gefunden
Avast	Keine Viren gefunden
AVG Antivirus	Keine Viren gefunden
BitDefender	Keine Viren gefunden
ClamAV	Keine Viren gefunden
Dr.Web	Keine Viren gefunden
F-Prot Antivirus	Keine Viren gefunden
F-Secure Anti-Virus	Keine Viren gefunden
Fortinet	Keine Viren gefunden
Kaspersky Anti-Virus	Keine Viren gefunden
NOD32	Keine Viren gefunden
Norman Virus Control	W32/Malware.LZM gefunden
Panda Antivirus	Keine Viren gefunden
VirusBuster	Keine Viren gefunden
VBA32	Keine Viren gefunden

Und auch mein derzeitiger Scanner, Avast Free Edition,  ließ die Datei gänzlich unbeeindruckt. (OK, das wird schnell geändert sein, ich habe ihnen den Virus geschickt).

Im Update werde ich Euch dann verraten, um was es sich handelt…

Wieder mal versuchen die Bot-Netz-Betreiber, uns einen Trojaner mittels einer gefälschten Rechnung unterzujubeln.

Anhang: T-Com.zip

In der Zip-Datei befindet sich eine: Telekom.pdf.exe, die sich mit einem PDF-Icon zu tarnen versucht. 

Jotti meint dazu:

Und es reißt nicht ab, soeben schlug hier noch mehrfach eine neue gefälschte Rechnung auf und wurde uns auch von einem Leser parallel zugesandt.

Dieses Mal stellt angeblich die Firma Quelle eine Rechnung per Email.

Absender:

Quelle De is_as0@quelle.de  

Betreff:

Und wieder versucht jemand, verschreckten Emailempfängern eine virenverseuchte Email unterzuschieben.

Dieses Mal handelt es sich um eine gefälschte Rechnung, die angeblich von Single.de bzw. Singel.de kommt. Der Absender scheint sich da selbst nicht so sicher zu sein. Jedenfalls lautet der Absender

Rechnung Singel.de

Das Betreff aber lautet:

Rechnung Single.de Anmeldung ID 34944

Im Text steht dann

Sehr geehrte Damen und Herren,

   vielen Dank für Ihre Anmeldung bei www.single.de Sie haben Sich für unsere
   kostenpflichtige Partnersuche
   angemedet. 097 ,- Euro werden Ihrem Konto für ein Jahresvertrag zu
   Last gelegt. Wir mailen Ihnen
   alle Partnersuchende aus Ihrer Region zwei Mal wöchentlich zu. Entnehmen Sie
   Ihre Rechnung und den Zugang
   zu Ihrem Profil dem unten angeführten Anhang. Bitte diesen genauestens
   durchlesen und bei einer
   Unstimmigkeit uns kontaktieren. Zum Lesen wird kein zusätzliches Programm
   benötigt.
   Falls  die  Anmeldung  von  einer  dritten Person ohne Ihre Zustimmung
   durchgeführt wurde, führen Sie
   unverzüglich,  den  in dem Anhang aufgeführten Abmeldevrogang aus. Der
   Widerspruch ist nach unseren AGB’s
   innerhalb von zwei Wochen schriftlich zulässig!
   Eine  Kopie  der  Rechnung  wird  Ihnen in den nächsten Tagen per Post
   zugestellt.

   Mit freundlichen Grüßen

   Webpool GmbH
   Aachener Straße 7
   50674 Köln
   Fax: 02 21 / 95 29 61-38

   Amtsgericht Köln
   HRB 30628
   Geschäftsführung: Hejung Im, André Ferrier
   Umsatzsteuer-ID: DE 195535258

Wie man sieht, hat der Absender Probleme mit den deutschen Umlauten.

An der Mail hängt ein Anhang namens 71311.zip, der eine Datei mit der Bezeichnung Rechnung-singel.de.pdf.exe enthält.

Mehrere aktuelle Virenscanner (wie etwa mein Avast) erkennen den Virus (Avast zum Beispiel als Trojaner Win32:Nurech-U)

Auch Jotti ist der Trojaner bekannt:

Datei:	Rechnung-singel.de.pdf.exe
Auslastung:	0%     100%
Status:	INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:	–
AntiVir	TR/Dldr.iBill.Y gefunden
ArcaVir	Keine Viren gefunden
Avast	Win32:Nurech-U gefunden
AVG Antivirus	Keine Viren gefunden
BitDefender	Keine Viren gefunden
ClamAV	Trojan.Downloader-1334 gefunden
Dr.Web	Trojan.DownLoader.19265 gefunden
F-Prot Antivirus	Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
F-Secure Anti-Virus	Trojan-Downloader:W32/Nurech.AZ gefunden
Fortinet	Keine Viren gefunden
Kaspersky Anti-Virus	Trojan-Downloader.Win32.Nurech.az gefunden
NOD32	Keine Viren gefunden
Norman Virus Control	Keine Viren gefunden
Panda Antivirus	Keine Viren gefunden
VirusBuster	Keine Viren gefunden
VBA32	Trojan-Downloader.Agent.35 gefunden (mögliche Variante)