Virenkiller.de

Unter einem Betreff wie

DHL Services. You should get the parcel NR.93835

erreicht zur Zeit viele Leute eine angebliche Benachrichtigung des Paketdienstes DHL, der sie darüber informieren soll, dass ein Paket angeblich nicht zugestellt werden konnte. (Und es gibt Menschen die so blöde sind, dass sie annehmen, DHL wüßte ihre Emailadresse?!?)

Hello!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly!
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox.
Thank you,
DHL Global Forwarding Services.

An dieser Mail hängt eine Zip-Datei mit Bezeichnungen wie “dhl_print_label_c234a.zip” (23.321 Byte). Diese wiederum enthält eine ausführbare Exe-Datei mit Namen wie “DHL_print_label_c234a.exe” (29.696 Byte)

Viele Virenscanner (wie etwa Antivir) reagieren noch nicht darauf. Andere erkennen ihn aber bereist und geben ihm einen Namen. Es scheint sich wieder mal um einen Vertreter der Familie Bredolab zu handeln. [Siehe hier]

Hier eine Liste der Scanner die sicher sind:

Authentium     5.1.2.4     2009.10.27     W32/Bredolab!Generic
BitDefender     7.2     2009.10.27     Trojan.Downloader.Bredolab.AZ
Comodo     2744     2009.10.27     Heur.Packed.Unknown
eSafe     7.0.17.0     2009.10.25     Suspicious File
F-Secure     9.0.15370.0     2009.10.22     Trojan.Downloader.Bredolab.AZ
GData     19     2009.10.27     Trojan.Downloader.Bredolab.AZ
Kaspersky     7.0.0.125     2009.10.27     Packed.Win32.Krap.w
McAfee+Artemis     5783     2009.10.26     Artemis!815C8DD61EDF
Microsoft     1.5202     2009.10.27     TrojanDownloader:Win32/Bredolab.X
Norman     6.03.02     2009.10.26     W32/Obfuscated.D2!genr
Panda     10.0.2.2     2009.10.26     Suspicious file
Prevx     3.0     2009.10.27     Medium Risk Malware
Sophos     4.46.0     2009.10.27     Mal/Bredo-A
Sunbelt     3.2.1858.2     2009.10.26     Trojan.Win32.Bredolab.Gen.1 (v)
TrendMicro     8.950.0.1094     2009.10.27     TROJ_BREDLAB.SMF

Die Virenschleudern versuchen es wieder mal wieder mit dem Trick, ausführbare Exe-Dateien als Word-Doc zu tarnen und sie gleich noch zu zippen.

So landen gerade wieder verstärkt Mails in den Postfächern, die extrem einfach gehalten sind und nur einen kleinen Anhang haben. Darin ist die Rede von einem Anhang, der angeblich ein „Statement“ (eine Stellungnahme) enthält.

Da man selbst sowas kaum erwartet wird diese Anhang vermutlich nur von neugierigen (und sehr dummen) Zeitgenossen geöffnet, die mal ein bißchen in den Daten anderer rumschnüffeln wollen.

Betreff: Statement January – October

Der Mailtext:

There is a file attached to this letter. You can find your report in it.
The report was made today. Detailed report you’ve asked for has been adapted successfully.
Feel free to contact us any time.
Mable

Daran hängt eine ZIP-Datei mit einer Größe von 35.927 Byte mit dem seltsamen Namen

statement.jan,oct.zip

Darin wiederum befindet sich eine Datei, die auf den ersten Blick wie ein Word-Dokument aussieht. Das Icon stimmt und die Endung DOC scheinbar auch. Allerdings kommen hinter diesem „Doc“ noch ganz viele Leerzeichen und dann folgt ein „.exe“.

So heißt die Datei also tatsächlich

Statement_January-October.doc                                            .exe

Bei Virustotal kennen 8 von 36 Scannern das Ding:
AntiVir HEUR/Crypted.E
Authentium W32/Trojan-Gypikon-based.DM!Maximus
eSafe Suspicious File
F-Prot W32/Trojan-Gypikon-based.DM!Maximus
Microsoft Trojan:Win32/Emold.gen!C
Panda Suspicious file
NOD32 a variant of Win32/TrojanDownloader.FakeAlert.NA
TrendMicro PAK_Generic.001

Bei Jotti schlagen sogar nur 4 Scanner an:
F-Prot Antivirus  W32/Trojan-Gypikon-based.DM!Maximus gefunden (mögliche Variante) 
F-Secure Anti-Virus  Trojan-Downloader:W32/Agent.HVR gefunden 
Ikarus  Win32.Outbreak gefunden 
NOD32  a variant of Win32/TrojanDownloader.FakeAlert.NA gefunden 

Laut Thret-Expert versucht das Ding zwei Adressen auf einem russischen Server zu kontaktieren und unter dem Programmordner eine neue Datei anzulegen

\Microsoft Common\wuauclt.exe (47.616 bytes)

Die Virenverbreiter versuchen es mal wieder mit dem guten, alten Postkartentrick:

Good day.
You have received an eCard
To pick up your eCard, choose from any of the following options:
Click on the following link (or copy & paste it into your web browser):
http://domainnamegeloescht.be/e-card.exe
Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!
We hope you enjoy you eCard.
Thank You!
http://www.greetingcard.org

Kaum zu glauben, dass noch Leute so blöde sein sollen, auf diesen Trick hereinzufallen. Aber es ist ebenfalls unglaublich, dass nacj wie vor nicht jeder Virenscanner das Teil erkennt.

Immer wird eine Datei namens e-card.exe (238.592 Byte) auf einer gehackten Domain abgelegt und auf diese Datei wird direkt verlinkt.

Laut den Analysen enthält das Teil einen Keylogger, der Tastenanschläge mitprotokolliert. Außerdem lädt es Programmcode aus dem Internet nach und verbreitet sich selbst über das Netzwerk.

Folgende Dateien werden angelegt:

.tt2.tmp
.ttA3.tmp
emails.dat.z
.tt2.tmp.vbs
svchost.exe (Das Original wird überschrieben!)
emails.dat
log.dat
blphc35dj0erc1.scr
lphc35dj0erc1.exe
phc35dj0erc1.bmp
MachineGuid.txt
Und im Tempverzeichnis: finder.exe

Bei Virustotal erkennen ihn nur 15 von 36 Scannern, bei Jotti nur 10 Scanner. AntiVir, Norman, ClamAV, Dr. Web, MacAffee und Panda versagen u.a. komplett!

Und wie immer gibt es solche Meldungen kostenlos in meinem Antivirus-Newsletter.

Es ist nicht ganz abzusehen, wie viele Varianten dieser Spam-Mail mit Trojaner-Link es geben wird. Das erste Exemplar erreichte mich in einer Mail, die auf einen deutschen Server zum Download eines Trojaners verwies.

Scheinbar bietet dort eine Frau Fotos von sich zum Download an.

Betreff:
Check my new photos :))

Inhalt:

Hello!
remember me?..
new fotos(archived) you asked
:))
http://–gelöscht–.org/my_fotos.exe

kiss, Julia S.

Es handelt sich bei dieser Exe-Datei um einen Trojaner mit 147456 Byte Größe, der von so ziemlich jedem Scanner erkannt wird.

Virustotal sagt dazu:

AhnLab-V3 – – –
AntiVir – – TR/Crypt.XPACK.Gen
Authentium – – W32/Srizbi.A
Avast – – –
AVG – – SHeur.BCWK
BitDefender – – Trojan.Srizbi.CA
CAT-QuickHeal – – Trojan.Srizbi.s
ClamAV – – Trojan.Dropper-5612
DrWeb – – Trojan.Sentinel
eSafe – – Suspicious File
eTrust-Vet – – Win32/Fuzfle.AM
Ewido – – –
F-Prot – – W32/Srizbi.A
F-Secure – – Trojan.Win32.Srizbi.s
FileAdvisor – – –
Fortinet – – W32/Srizbi.XO!tr.rkit
Ikarus – – Virus.Trojan.Win32.Srizbi.s
Kaspersky – – Trojan.Win32.Srizbi.s
McAfee – – Srizbi
Microsoft – – TrojanDropper:Win32/Srizbi.G
NOD32v2 – – Win32/Srizbi.Gen
Norman – – –
Panda – – Trj/Srizbi.A
Prevx1 – – TROJAN.SRIZBI
Rising – – –
Sophos – – Mal/EncPk-CK
Sunbelt – – Trojan.Srizbi.CA
Symantec – – Trojan.Srizbi
TheHacker – – Trojan/Srizbi.s
VBA32 – – Trojan.Win32.Srizbi.s
VirusBuster – – Trojan.DR.Srizbi.W
Webwasher-Gateway – – Trojan.Crypt.XPACK.Gen

Tipps

1. Grundsätzlich sollte man jeder Exe-Datei misstrauen, die in einer Mail angeboten wird. Selbst wenn die Mail scheinbar von einem Freund kommt. Denn auch dessen PC kann bereits verseucht sein.
2. Halten Sie Ihre Virenkiller aktuell.
3. Tragen Sie sich in unseren kostenlosen Newsletter mit Virenwarnungen ein.

Derzeit erreichen uns Spam-Mails, in denen (englisch) für kostenlose Screensaver (Bildschirmschoner) geworben wird.

Das gefährliche daran ist u.a., dass die Erkennungsrate der üblichen Virenscanner extrem schlecht ist.

Selbst Kaspersky, gern als Maß aller Dinge betrachtet, schätzt die Dateien als harmlos ein.

Doch einige der Virenkiller sehen das auch anders und deklarieren die „Geschenke“ definitiv als Trojaner.

Betreff der Mails

Mit Betreffs wie
Elias best ScreenSa\/er for you
Eloy beSt $creenSaVer for you

versucht die Mail unsere Aufmerksamkeit zu bekommen. Interessant daran ist, dass der Name mit dem Namen des angeblichen Absenders korrespondiert.

 

Mailtext

Die Mailtexte sind einfach gehalten. Erwas Text – durchsetzt mit Sonderzeichen – und ein einzelner Link.

Free 3D screen$aver

The New collection of $creensavers.

*Downlo@d. now!

Cllck

here (Link entfernt!)

Miserable Erkennungsrate

Bereits beim Besuch der Seite wird von einem Virenscanner der Versuch gemeldet, einen HTML-Scriptvirus auszuführen. Die Seite selbst ist einigermaßen professionell gemacht und wirkt tatsächlich wie eine thematisch sortierte Screensaver-Sammlung.

Jotti sagt dazu:

A-Squared :Keine Viren gefunden
AntiVir :Keine Viren gefunden
ArcaVir :Keine Viren gefunden
Avast :Keine Viren gefunden
AVG Antivirus :Keine Viren gefunden
BitDefender :Trojan.Crypt.AI gefunden
ClamAV :Keine Viren gefunden
CPsecure:Keine Viren gefunden
Dr.Web :Trojan.Click.origin gefunden
F-Prot Antivirus :Keine Viren gefunden
F-Secure Anti-Virus :Keine Viren gefunden
Fortinet :Keine Viren gefunden
Ikarus :Keine Viren gefunden
Kaspersky Anti-Virus :Keine Viren gefunden
NOD32 :probably a variant of Win32/PSW.Agent.NHG gefunden (mögliche Variante)
Norman Virus Control :Keine Viren gefunden
Panda Antivirus :Keine Viren gefunden
Rising Antivirus :Keine Viren gefunden
Sophos Antivirus: Keine Viren gefunden
VirusBuster :Keine Viren gefunden
VBA32 :Keine Viren gefunden

Folgendes meldet Virustotal

BitDefender: Trojan.Crypt.AI
CAT-QuickHeal: (Suspicious) – DNAScan
Ikarus: Trojan-Downloader.Agent.AGL
Kaspersky: Trojan-Downloader.Win32.Small.ths
Microsoft: Backdoor:Win32/Koceg.gen!A
NOD32v2: probably a variant of Win32/PSW.Agent.NHG
Panda: Suspicious file
Prevx1: Heuristic: Suspicious Self Modifying File
Webwasher-Gateway: Worm.Win32.Malware.gen (suspicious)

Empfehlung und Hinweis

Was viele vielleicht gar nicht wissen: Windows-Bildschirmschoner sind im Grunde erst einmal nichts anderes als ausführbare Programme. Tatsächlich könnte man sie sogar starten, wenn man die Dateiendung von .scr auf .exe ändert.

Es empfiehlt sich also grundsätzlich, bei Bildschirmschonern die man aus dem Internet oder per Mail bekommt, Vorsicht walten zu lassen.

Eventuell sollten Sie solche „Geschenke“ erst einmal online scannen. Denn selten trifft so wie hier der Name „trojanisches Pferd“ zu…

Um zukünftig bei solchen Gefahren frühzeitig gewarnt zu sein, tragen Sie sich in meinen kostenlosen Newsletter ein.

Wieder mal versuchen die Bot-Netz-Betreiber ihre Trojaner loszuwerden. Zuletzt haben Sie es mit angeblichen Grußkarten zum Valentinstag versucht. Jetzt ist mal wieder die Grußkartenmasche dran.

Immer die selbe Methode verwenden sie beim Verbreiten Ihrer Dateien. Eine Spam-Email lockt mit relativ primitiven Einzeilern zu einer IP-Adresse, statt zu einer Domain.

Beispiel:
Betreff: Ecard greeting inside
Text: Someone sent you this Funny Ecard. It is Hilarious! http://xxx.yyy.zzz.aaa/

Dieses Mal wird die Datei e-card.exe (Größe 121.345 Byte) verteilt. Besonders hinterhältig an der eigentlich recht primitiv gemachten Lockseite:

Sie gibt sich als der (unschuldige) ECard-Versender FunnyPostCard.com aus und versucht 5 Sekunden nach Betreten der Webseite, die Datei zu downloaden.

Der Trojaner selbst ist nicht so wahnsinnig gefährlich – vorausgesetzt, man benutzt einen aktuellen Virenscanner! Denn so ziemlich alle Virenkiller erkennen ihn als Variante des zumeist als „Zhelatin“ benannten Trojaners. Dieser Trojaner durchsucht den gesamten Computer nach Emailadressen und versendet wiederum verseuchte Emails an alle gefundenen Adressen.

Betreffs:
Your ecard joke is waiting
You have an ecard
We have a ecard surprise
Someone Just sent you an ecard
Did you open your ecard yet
ecard waiting for you
Open your ecard
new ecard waiting
Now this is funny
online greeting waiting
sent you an ecard

Mailtexte:
laughing Funny Card
You have been sent a Funny Postcard
You have been sent the Funny Ecard
original Funny Card
Someone Sent you this Funny Ecard
your funny postcard
original Funny Postcard
sent a Funny Postcard
personal funny postcard
FunnyPostcard
laughing funny postcard

Scan-Ergebnis bei Virustotal

AntiVir
Worm/Zhelatin.pc

AVG
I-Worm/Nuwar.N

BitDefender
Trojan.Peed.IWX

CAT-QuickHeal
Win32.Email-Worm.Zhelatin.vg

ClamAV
Trojan.Peed-130

DrWeb
Trojan.Packed.357

eSafe
Suspicious File

eTrust-Vet
Win32/Sintun!generic

Fortinet
W32/PackTibs.M

F-Prot
W32/Zhelatin.F.gen!Eldorado

F-Secure
Email-Worm.Win32.Zhelatin.vg

Ikarus
Trojan.Peed.IWV

Kaspersky
Email-Worm.Win32.Zhelatin.vg

McAfee
W32/Nuwar@MM

Microsoft
TrojanDropper:Win32/Nuwar.gen!B

NOD32v2
probably a variant of Win32/Nuwar.Gen

Sophos
W32/Dorf-AX

Symantec
Trojan.Peacomm

VBA32
Email-Worm.Win32.Zhelatin.vg

VirusBuster
Worm.DR.Zhelatin.Gen.4

Webwasher-Gateway
Worm.Zhelatin.pc

Die Doofen sterben nie aus…

Das wissen auch die Verbreiter von Trojanern und deshalb senden Sie uns eine Email, mit pornografischem Locktext und einem Anhang mit dem Namen video.zip (17.424. Byte). Diese enthält den angeblichen Bildschirmschoner video.scr (29.184 Byte).

Virustotal und alle gängigen Virenkiller kennen die Bedrohung:

AhnLab-V3 2008.1.26.10 2008.01.25 –
AntiVir 7.6.0.53 2008.01.25 TR/Dropper.Gen
Authentium 4.93.8 2008.01.25 W32/Trojan2.UDL
Avast 4.7.1098.0 2008.01.25 –
AVG 7.5.0.516 2008.01.25 SHeur.AOUK
BitDefender 7.2 2008.01.25 Trojan.Peed.IUH
CAT-QuickHeal 9.00 2008.01.25 –
ClamAV 0.91.2 2008.01.25 –
DrWeb 4.44.0.09170 2008.01.25 Trojan.MulDrop.10487
eSafe 7.0.15.0 2008.01.16 –
eTrust-Vet 31.3.5484 2008.01.25 –
Ewido 4.0 2008.01.25 –
FileAdvisor 1 2008.01.25 –
Fortinet 3.14.0.0 2008.01.25 –
F-Prot 4.4.2.54 2008.01.25 W32/Trojan2.UDL
F-Secure 6.70.13260.0 2008.01.25 Trojan:W32/Agent.EFO
Ikarus T3.1.1.20 2008.01.25 Win32.Outbreak
Kaspersky 7.0.0.125 2008.01.25 Trojan-Downloader.Win32.Agent.hzc
McAfee 5215 2008.01.24 –
Microsoft 1.3109 2008.01.25 –
NOD32v2 2823 2008.01.25 –
Norman 5.80.02 2008.01.24 –
Panda 9.0.0.4 2008.01.25 Trj/Spammer.ADX
Prevx1 V2 2008.01.25 Heuristic: Suspicious Hijacker
Rising 20.28.41.00 2008.01.25 –
Sophos 4.25.0 2008.01.25 Troj/Pushdo-Gen
Sunbelt 2.2.907.0 2008.01.25 –
Symantec 10 2008.01.25 Trojan.Pandex
TheHacker 6.2.9.197 2008.01.25 –
VBA32 3.12.2.5 2008.01.21 –
VirusBuster 4.3.26:9 2008.01.25 Trojan.DR.Pandex.Gen.4
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Dropper.Gen

 Tipp: Schädel einschalten!

Wenn eine Email damit lockt, dass Harry Potter es Angelina Jolie in ihren dicken A…. besorgt und das mit einem Video von 17 KB Größe dokumentieren will – kann das wohl stimmen?

Na also!

Kaum ist für die Virenverbreiter „das Weihnachchtsgeschäft“ vorbei, machen sie mit einem neuen Trojaner als Liebesbrief weiter.

withlove.exe heißt die Datei, die von denselben Verursachern verbreitet wird.

Dieses mal haben sie keine viel versprechenden Domains gekauft, sondern verteilen ihre Trojaner über einfache IPs. Wieder findet sich im Quelltext ein Verweis auf Dateinamen wie fck2008.exe und fck2009.exe

Spammails mit Texten wie

Hugging My Pillow http://111.222.333.444/
I Would Dream http://111.222.333.444/ (IPs von virenkiller.de geändert)

versuchen Sie Dumme auf Ihre Seiten zu locken.

Dort steht auch nicht besonders viel.

Ein Herz und darunter:
Your download should begin shortly. If your download does not start
in 10-20 seconds, you can

click here to launch the download
and then press Run. Enjoy!

Der Trojaner scheint relativ neu, kaum jemand erkennt ihn.

Jotti meint dazu:

BitDefender  Trojan.Peed.ITB gefunden 
NOD32  a variant of Win32/Nuwar gefunden

Etwas mehr erkennt Virustotal:

BitDefender 7.2 2008.01.16 Trojan.Peed.ITB
NOD32v2 2795 2008.01.16 a variant of Win32/Nuwar
Prevx1 V2 2008.01.16 Stormy:All Strains-All Variants
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)

Tipps von Virenkiller:

1. Niemals solche Seiten ansurfen. Sie könnten demnächst auch mit Exploits gespickt sein.
2. Diese Dateien nie downloaden. Bezähmen Sie ihre Neugier
3. Melden Sie sich bei unserem Newsletter an, um früh genug von diesen Bedrohungen zu erfahren.

Update 16.1.2008

• Nachdem ich ihn zugesandt habe, erkennt Antivir den Schädling seit etwa 11:00 Uhr.
• Kaspersky muss weiterhin passen
• AVG erkennt ihn
• BitDefender erkennt ihn
• ClamAV und FProt versagen
• GDate versagt mal wieder online, wird ihn aber erkenne, weil es ja die Kaspersky-Engine benutzt.
• NOD und Sophos erkennen ihn, Norman und Panda nicht.

Update 18.1.2008

Es gibt eine neue Version des Trojaners, 115.201 Byte groß.
Name ist weiterhin withlove.exe
Kaspersky (GData), McAfee, Fprot, Antivir erkennen ihn nicht.

Hier die Liste der Scanner, die ihn laut Virustotal erkennen:
AVG 7.5.0.516 2008.01.18 I-Worm/Nuwar.L
BitDefender 7.2 2008.01.18 Trojan.Peed.ITK
ClamAV 0.91.2 2008.01.18 Trojan.Small-4843
Fortinet 3.14.0.0 2008.01.18 W32/PackTibs.L
F-Secure 6.70.13260.0 2008.01.18 Suspicious:W32/Malware!Gemini
Microsoft 1.3109 2008.01.18 TrojanDropper:Win32/Nuwar.gen!A
Prevx1 V2 2008.01.18 Stormy:Worm-All Variants
Symantec 10 2008.01.18 Trojan.Peacomm.D
Webwasher-Gateway 6.6.2 2008.01.18 Win32.Malware.gen!88 (suspicious)

Legt folgende Dateien im System ab:
%System%\burito.ini
%System%\burito5e84-1216.sys 

Verändert Registry-Schlüssel
(Nach BURITO5E84 suchen)

Mit einem weihnachtlichen Gruß und einer angeblich anhängenden Weihnachtskarte versucht sich ein kleiner Trojaner im Januar 2008 zu verbreiten.

Immerhin: In Japan kursierte diese Mail bereits um Weihnachten herum – nicht dass die Japaner Weihnachten feierten… :-)

Mailtext:
Good Day, dear!

Jane sent you eCard with greetings.
Check your attachment ;)
Merry Christmas!

Best Regards.

Daran hängt eine ZIP-Datei mit dem Namen eCard.exe, die nur 16.892 Byte groß ist und ihrerseits die Datei eCard.exe enthält (18.160 Byte)

Jotti und Virustotal erkennen den Virusbefall, aber eben leider nicht alle Scanner.

Analyse von Virustotal:
http://www.virustotal.com/de/analisis/53afd7f6894492eeba7706e47316f284

Analyse von Jotti

A-Squared  Keine Viren gefunden
AntiVir  Keine Viren gefunden
ArcaVir  Trojan.Pakes.Byc gefunden 
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Trojan.Pandex.AC gefunden 
ClamAV  Trojan-Small gefunden 
CPsecure  Keine Viren gefunden
Dr.Web  BackDoor.Bulknet.118 gefunden 
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Trojan.Win32.Pakes.byc gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Virus.Trojan.Win32.Pakes.byc gefunden 
Kaspersky Anti-Virus  Trojan.Win32.Pakes.byc gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Rising Antivirus  Keine Viren gefunden
Sophos Antivirus  Troj/Pushdo-F gefunden 
VirusBuster  Trojan.DR.Pandex.Gen.4 gefunden 
VBA32  Keine Viren gefunden

Derzeit versuchen wieder einige Virenverbreiter, den Anlass des Jahreswechsels dazu zu verwenden, ihre Trojaner in der Welt zu verbreiten.

Dieses Mal haben sie sich einige „passende Domains“ gesichert, um angebliche elektronische Neujahrspostkarten zu versenden, hinter denen sich aber in Wirklichkeit ein Trojaner verbirgt.

Unter Domainnamen wie

uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
freshcards2008.com

Update

Neu hinzugekommen:
http://hohoho2008.com/ mit happy_2008.exe
http://hellosanta2008.com
http://parentscards.com
http://santapcards.com/

Und täglich kommen neue Domains für den Sturm-Trojaner hinzu:
http://merrychristmasdude.com/ (3.1.2007)
http://santawishes2008.com/ (4.1.2007)
http://HAPPY2008TOYOU.COM (4.1.2008)
http://postcards-2008.com (4.1.2008)

verbreiten Sie die Dateien mit Namen wie:

happy-2008.exe
happynewyear2008.exe
jeweils 143.873 Byte groß

Auskommentiert auf den Webseiten sind auch Namen wie
fck2008.exe und fck2009.exe

Viele Scanner erkennen die Gefahr bereits und identifizieren den Virus als

TR/Crypt.XDR.Gen
W32/Dropper.gen6
Win32:Zhelatin-ASX
W32/Tibs.G@mm

Die Domains selbst haben gar keinen Inhalt außer einem englischsprahigen Hinweis

Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!

Auch die Emails sind sehr primitiv. Das Betreff lautet beispielsweise „Message for new year“ und der Inhalt:

As you embrace another new year
xxxx://newyearcards2008.com/

Update 30.12.2007:
Es wird eine neue version der Mail verschickt, die etwas mehr „personalisiert“ wurde, indem man dem Spruch als Anrede die Emailadresse des Empfängers hinzufügt.

Happy New Year To name@emailadresse.tld!
http://freshcards2008.com/

Jotti meint dazu:

A-Squared: Keine Viren gefunden
AntiVir: TR/Crypt.XDR.Gen gefunden:
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Dropper.Generic.TNQ gefunden:
BitDefender: Trojan.Peed.IRM gefunden:
ClamAV: Keine Viren gefunden
CPsecure: Keine Viren gefunden
Dr.Web: Trojan.Spambot.2556 gefunden:
F-Prot Antivirus: Keine Viren gefunden
F-Secure Anti-Virus: Email-Worm:W32/Zhelatin.PS gefunden:
Fortinet: Keine Viren gefunden
Ikarus: Keine Viren gefunden
Kaspersky Anti-Virus: Email-Worm.Win32.Zhelatin.pv gefunden:
NOD32: Win32/Nuwar.BE gefunden:
Norman Virus Control: Keine Viren gefunden
Panda Antivirus: Keine Viren gefunden
Rising Antivirus: Keine Viren gefunden
Sophos Antivirus: Mal/Dorf-H gefunden:
VirusBuster: Trojan.DL.Tibs.JO gefunden:
VBA32: Keine Viren gefunden

Und der Onlinescan?

Bei Virustotal und Jotti erkennen den Virus die meisten Scanner. Auch von den Scannern auf unserer Seite http://www.virenkiller.de/onlinevirenscanner erkennen Ihn – bis auf Norman(!) – alle zuverlässig.

Update

Auf der Seite http://www.threatexpert.com/report.aspx?uid=1c717d77-f5ea-4627-86fe-dc164d924dab gibt es eine ziemlich gute Analyse des Verhaltens dieses Trojaners. Insbesondere auch der Dateien, die noch angelegt werden, wie oriieke7cb3f68.sys und oriieke.ini.

Drauf gekommen bin ich durch das totale Versagen des Norman-Scanners, der zwar immerhin feststellt, dass diese Dateien angelegt werden, daraus aber auch am 4.1. noch keinerlei Schlüsse auf Malware zieht :-)

Es kursiert eine neue variante der Ebay-Mail (siehe auch http://www.virenkiller.de/archives/21 ) mit dem Absender

Der Inhalt der Mail ist identisch – inklusive der Fehler. Das Betreff lautet:

Ihre Ebay E-Mail wurde geandert
oder
Ebay: Sie haben Ihre Email Adresse geanderter
oder auch
Ihre Ebay E-Mail wurde geandert 

Allein die Umlautfehler lassen schon darauf schließen, dass der Text der Mail kopiert wurde, der Versender aber versucht, eine gewisse Varianz ins Betreff zu bringen, jedoch über keine Umlaute in der Tastatur verfügt.

Die Namen der gezippten Anhänge (etwa 8 kb) setzen sich aus Ziffern zusammen, wie etwa

2864046.zip
23430093.zip
2803071.zip 

Darin befindet sich eine ausführbare Trojanerdatei namens Ebay.doc.exe (komplett mit Word-Icon)

Der Mailtext:

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Vielen Dank,
eBay
——————————————————————

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright   2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
——————————————————————
Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

 Nicht alle Scanner kennen die Variante, einige Onlinescanner schlagen Alarm.

Jotti meint:

Und Virustotal meint:

Diese und ähnliche Warnungen per Email?
http://www.virenkiller.de/newsletter/

Wieder mal versuchen die Bot-Netz-Betreiber, uns einen Trojaner mittels einer gefälschten Rechnung unterzujubeln.

Anhang: T-Com.zip

In der Zip-Datei befindet sich eine: Telekom.pdf.exe, die sich mit einem PDF-Icon zu tarnen versucht. 

Jotti meint dazu:

Und wieder versuc ht jemand, uns mit dem Namen eines großen Konzerns einen Virus unterzuschieben.

Im Betreff heißt es: „Ihre IKEA Bestellung“

Dann folgt ein harmlos klingender Text:

IKEA
            Ihre detaillierte IKEA Rechnung 
    
    

      Rechnungsnummer
      Kundennummer
      Datum 
      561 152 855 6683
      175 669 2886
      10 Februar 2006
    

      Sehr geehrter IKEA Kunde,

      die Gesamtsumme für Ihre Rechnung beträgt: 422,17 Euro.
      Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

      Kopie dieses Schreibens wird Ihnen gleichzeitig auch per Post zugeschickt.
      Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.

      Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
      Ihre Rechnung ist im PDF-Format erstellt und mit einer „Digitalen Signatur“ unterzeichnet worden. Den entsprechenden
      Verifikationsbericht finden Sie im Anhang dieser E-Mail.
      Durch die „Digitale Signatur“ wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.

      Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
      Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: http://www.adobe.de/products/acrobat/readstep2.html

      Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
      und die Signatur zu prüfen.

      Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort „Digitale Signatur“.
      ==================================
      Das IKEA FAMILY LIVE
      Einrichtungsmagazin: 100 Seiten Inspiration und Information.
      4 -mal im Jahr kostenlos zum Mitnehmen in deinem IKEA FAMILY Shop.

      Transportsicherheit:
      Zeig einfach deine IKEA FAMILY CARD an der Kasse vor.
      Wird dein Einkauf auf dem Eigentransport nach Hause beschädigt,
      erhälst du gegen Vorlage des Kassenbons einen kostenlosen Ersatz der Ware.
      ==================================

      Mit freundlichen Grussen
      Ihre IKEA Team
      i.A. Sandy Steinicke
      —————————————————

      Inter IKEA Systems B.V. 1999 – 2006
    
      Aufsichtsrat:
      Handelsregister:
     Dr.Klaus Zumwinkel (Vorsitzender)
      Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn

Der Anhang, die angebliche Rechnung hieß bei mir IKEA218Rechnung.zip und diese Datei enthielt eine ausführbare Datei namens RG_unYH8nfi32in.pdf.exe.

Schon das sowie die Tatsache, gar nichts bei IKEA bestellt zu haben, sollte Warnung genug sein. 

Jotti erkennt zum heutigen Datum (19.2.2007) nicht viel:

Update vom 20.2.2007:
Scheinbar gibt es Trittbrettfahrer. Nun erschien eine neue Variante, diesmal mit einem Anhang im RAR-Format. (z.B.: ikea411Rechnung.rar). Auch das Betreff ist leicht geändert: „Detaillierte IKEA Rechnung3“.

Zu dieser Variante, fällt Jotti mehr ein:

ACHTUNG Update vom 17.4.2007
Es gibt eine neue Variante der Mail
Siehe http://www.virenkiller.de/archives/34 

Und wieder versuchen es die Trojanerverbreiter mit einer neuen Masche. Wie kürzlich erst bei dem „BKA-Virus“, versuchen Sie jetzt Ebaykunden einen Virus unterzujubeln.

Die Email enthält immer ein Betreff ähnlich wie „EBay neue E-Mail-Adresse“ und als Absender „eBay.de“ mit der Emailadresse meinestory@ebay.de

Sie hat einen Anhang mit Namen wie „Ebay-99381412.zip“ und diese ZIP-Datei enthält dann den Trojaner mit der Bezeichnung „Ebay.pdf.exe“.

Hier der Emailtext:

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!

Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!

Vielen Dank,
eBay
——————————————————————–

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright   2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
——————————————————————–
Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

Ich persönlich finde ja am schönsten das „sehr geehrter Ebay Mitglied“ ;-)

Auch diverse andere Rechtschreibfehler und Unregelmäßigkeiten im Mailtext deuten darauf hin, dass es sich bei dem Verbreiter um jemanden handelt, bei dem dieser Trick den letzten Versuch darstellt, mit geringem Intelligenzquotienten an Geld zu kommen.

Bei http://virusscan.jotti.org/de/ gibt es jetzt hier immerhin 7 Trojanerwarnungen.

Haben Sie in letzter Zeit Email vom BKA bekommen? Es wird auf ein Ermittlungsverfahren Nr. xxxxxx hingewiesen.

Das allein verleitet vermutlich schon so manchen Zeitgenossen, sich die Email einmal anzuschauen.

Sehr geehrte Damen und Herren,das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP 212.227.116.110 erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067
Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.Hochachtungsvoll
i.A. Jürgen StockBundeskriminalamt BKA
Referat LS 2
65173 Wiesbaden
Tel.: +49 (0)611 – 55 – 12331
Fax.: +49 (0)611 – 55 – 0

Und schließlich ist die IP-Adresse völliger Unsinn und hat mit meinem Provider nichts zu tun.

Doch vor allem: Das BKA versendet keine Strafanzeigen per Email. Außerdem: Wer füllt Strafanzeigen selbst aus? ;-)

Also… was tun? Spamfilter anschaffen, und ungelesen löschen.

Nachtrag am 2.2.2007

Statt als ausführbare EXE-Datei kam gerade eine Mail mit einem gezippten Anhang hier an.

„Akte58391.zip“, die wiederum eine „Akte.pdf.exe“ enthält.

AVG-Free erkennt da nix gefährliches, bei http://virusscan.jotti.org/de/ schlagen nur 3 Scanner Alarm.

Die halten das Teil für eine Trojanervariante.

Am Montag morgen schlug er hier auf, wurde von mir an Sophos weitergeleitet und hat seit Montag vormittag einen Namen: Der Trojaner-Virus Troj/Clagger-AB

Er kündigte sich bei mir in einer ziemlich gutaussehenden, aber völlig hirnrissigen Rechnungsankündigung an, die mir mitteile, ich hätte über 8.000 Euro zu zahlen. Die Rechnung würde an der Mail anhängen.

Da hing dann eine Datei namens Rechnung.pdf.zip dran, welche als Rechnung.pdf. exe den ausführbaren Trojaner enthielt.

Dieser nistet sich laut Sophos auf dem Rechner ein, lädt Dateien aus dem Internet nach und verwandelt somit den Rcehner in einen „Bot“, mit dessen Hilfe Spammails versendet werden können.

Die meisten Scanner erkennen ihn angeblich. Ewido kanns noch nicht und der Grisoftscanner auch nicht.

Was tun?

Wie immer: Kopf einschalten, mail löschen, keine Anhänge öffnen, keine ausführbaren Dateien starten :-)

Nachtrag 30.8./14:00 Uhr)
AVG-Free von Grisoft hat ein Update geliefert und erkennt ihn jetzt als „Downloader.Generic2.MRP