Kaum ist für die Virenverbreiter “das Weihnachchtsgeschäft” vorbei, machen sie mit einem neuen Trojaner als Liebesbrief weiter.
withlove.exe heißt die Datei, die von denselben Verursachern verbreitet wird.
Dieses mal haben sie keine viel versprechenden Domains gekauft, sondern verteilen ihre Trojaner über einfache IPs. Wieder findet sich im Quelltext ein Verweis auf Dateinamen wie
Spammails mit Texten wie
Hugging My Pillow http://111.222.333.444/
I Would Dream http://111.222.333.444/ (IPs von virenkiller.de geändert)
versuchen Sie Dumme auf Ihre Seiten zu locken.
Dort steht auch nicht besonders viel.
Ein Herz und darunter:
Your download should begin shortly. If your download does not start
in 10-20 seconds, you can
click here to launch the download
and then press Run. Enjoy!
Der Trojaner scheint relativ neu, kaum jemand erkennt ihn.
Jotti meint dazu:
BitDefender Trojan.Peed.ITB gefunden
NOD32 a variant of Win32/Nuwar gefunden
Etwas mehr erkennt Virustotal:
BitDefender 7.2 2008.01.16 Trojan.Peed.ITB
NOD32v2 2795 2008.01.16 a variant of Win32/Nuwar
Prevx1 V2 2008.01.16 Stormy:All Strains-All Variants
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)
Tipps von Virenkiller:
-
Niemals solche Seiten ansurfen. Sie könnten demnächst auch mit Exploits gespickt sein.
-
Diese Dateien nie downloaden. Bezähmen Sie ihre Neugier
-
Update 16.1.2008
- Nachdem ich ihn zugesandt habe, erkennt Antivir den Schädling seit etwa 11:00 Uhr.
- Kaspersky muss weiterhin passen
- AVG erkennt ihn
- BitDefender erkennt ihn
- ClamAV und FProt versagen
- GDate versagt mal wieder online, wird ihn aber erkenne, weil es ja die Kaspersky-Engine benutzt.
- NOD und Sophos erkennen ihn, Norman und Panda nicht.
Update 18.1.2008
Es gibt eine neue Version des Trojaners, 115.201 Byte groß.
Name ist weiterhin withlove.exe
Kaspersky (GData), McAfee, Fprot, Antivir erkennen ihn nicht.
Hier die Liste der Scanner, die ihn laut Virustotal erkennen:
AVG 7.5.0.516 2008.01.18 I-Worm/Nuwar.L
BitDefender 7.2 2008.01.18 Trojan.Peed.ITK
ClamAV 0.91.2 2008.01.18 Trojan.Small-4843
Fortinet 3.14.0.0 2008.01.18 W32/PackTibs.L
F-Secure 6.70.13260.0 2008.01.18 Suspicious:W32/Malware!Gemini
Microsoft 1.3109 2008.01.18 TrojanDropper:Win32/Nuwar.gen!A
Prevx1 V2 2008.01.18 Stormy:Worm-All Variants
Symantec 10 2008.01.18 Trojan.Peacomm.D
Webwasher-Gateway 6.6.2 2008.01.18 Win32.Malware.gen!88 (suspicious)
Legt folgende Dateien im System ab:
%System%\burito.ini
%System%\burito5e84-1216.sys
Verändert Registry-Schlüssel
(Nach BURITO5E84 suchen)
Paypalkunden sollen verlockt werden auf einer in Dänemark liegenden Seite namens palupdate.dk ihre Paypaldaten einzugeben.
Sollte das klappen, ist es für die Verbrecher sicher genauso lohnend, wie in ein Bankkonto einzubrechen. Mit dem Unterschied, dass keine weiteren Sicherheitssperren wie TANs etc. existieren.
VORSICHT: Script!
Man kann davon ausgehen, dass diese Seite auch “virenverseucht” ist und mithilfe eines sogenannten “Cross-Site-Scripting” Versuchs (XSS) versucht, Besucher der Seite über Browserlücken anzugreifen, um etwa einen Trojaner zu installieren. Auf jeden Fall gibt Firefox entsprechende Warnungen aus!
Betreff der Mail:
Neu PayPal-Sicherheits-Center 2008
Mailtext:
Neu PayPal-Sicherheits-Center 2008.
Guten Tag,
Die PayPal Sicherheitsabteilung hat ein neues Datenschutzsystem entwickelt.Da zur Zeit die Betrügereien mit den PayPal-Konten von unseren Kunden häufig geworden sind, müssen wir notgedrungn nachträglich eine zusätzliche Autorisation von den PayPal-Kontobesitzern durchführen.
Der Sicherheitsdienst der PayPal traf die Entscheidung,eine neue Sicherung von den Datenvorzunehmen.Dazu wurden von unseren Spezialisten sowohl die Protokolle der Informations-übertragung, als auch die Kodierungsart der übertragenen Daten erneuert.
Der Vorgang ist jedoch noch nicht abgeschlossen.
Sie müssen auf den Link unten klicken und Ihr Passwort auf der folgenden Seite eingeben, um diese E-Mail-Adresse zu bestätigen.
Klicken Sie hier, um Ihre E-Mail-Adresse zu bestätigen
Sie können Ihre E-Mail-Adresse auch bestätigen, indem Sie sich unter https://www.paypal.com/de/ in Ihr PayPal-Konto einloggen.
Vielen Dank, dass Sie sich für PayPal entschieden haben.
Ihr PayPal-Team
Angeblicher Besitzer ist ein Pelle Schmidt mit einer Postfachadresse.
Virenkiller.de-Rat:
- Auf keinen Fall ansurfen! Unterdrücken Sie Ihre Neugier!
- Besorgen Sie sich einen sicheren Browser (Firefox-Download befindet sich rechts im Menü von www.virenkiller.de)
- Tragen Sie sich in unseren Virennewsletter ein.
Mit einem weihnachtlichen Gruß und einer angeblich anhängenden Weihnachtskarte versucht sich ein kleiner Trojaner im Januar 2008 zu verbreiten.
Immerhin: In Japan kursierte diese Mail bereits um Weihnachten herum – nicht dass die Japaner Weihnachten feierten… :-)
Mailtext:
Good Day, dear!
Jane sent you eCard with greetings.
Check your attachment ;)
Merry Christmas!
Best Regards.
Daran hängt eine ZIP-Datei mit dem Namen eCard.exe, die nur 16.892 Byte groß ist und ihrerseits die Datei eCard.exe enthält (18.160 Byte)
Jotti und Virustotal erkennen den Virusbefall, aber eben leider nicht alle Scanner.
Analyse von Virustotal:
http://www.virustotal.com/de/analisis/53afd7f6894492eeba7706e47316f284
Analyse von Jotti
A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Trojan.Pakes.Byc gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Pandex.AC gefunden
ClamAV Trojan-Small gefunden
CPsecure Keine Viren gefunden
Dr.Web BackDoor.Bulknet.118 gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Trojan.Win32.Pakes.byc gefunden
Fortinet Keine Viren gefunden
Ikarus Virus.Trojan.Win32.Pakes.byc gefunden
Kaspersky Anti-Virus Trojan.Win32.Pakes.byc gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Troj/Pushdo-F gefunden
VirusBuster Trojan.DR.Pandex.Gen.4 gefunden
VBA32 Keine Viren gefunden
Kaum ist für die Virenverbreiter “das Weihnachchtsgeschäft” vorbei, machen sie mit einem neuen Trojaner als Liebesbrief weiter.