Liebe Empfänger unseres Newsletters mit Emailadressen bei T-Online,
bitte lesen Sie den Hinweis unter
T-Online blockt unseren Newsletter! [KLICKEN]
Ich bekomme vom T-Online-Spamfilter die Newsletter mit den Virenwarnungen zurückgeschickt, weil sie angeblich Spam sind.
Es ist nicht ganz abzusehen, wie viele Varianten dieser Spam-Mail mit Trojaner-Link es geben wird. Das erste Exemplar erreichte mich in einer Mail, die auf einen deutschen Server zum Download eines Trojaners verwies.
Scheinbar bietet dort eine Frau Fotos von sich zum Download an.
Betreff:
Check my new photos :))
Inhalt:
Hello!
remember me?..
new fotos(archived) you asked
:))
http://–gelöscht–.org/my_fotos.exekiss, Julia S.
Es handelt sich bei dieser Exe-Datei um einen Trojaner mit 147456 Byte Größe, der von so ziemlich jedem Scanner erkannt wird.
Virustotal sagt dazu:
AhnLab-V3 – – –
AntiVir – – TR/Crypt.XPACK.Gen
Authentium – – W32/Srizbi.A
Avast – – –
AVG – – SHeur.BCWK
BitDefender – – Trojan.Srizbi.CA
CAT-QuickHeal – – Trojan.Srizbi.s
ClamAV – – Trojan.Dropper-5612
DrWeb – – Trojan.Sentinel
eSafe – – Suspicious File
eTrust-Vet – – Win32/Fuzfle.AM
Ewido – – –
F-Prot – – W32/Srizbi.A
F-Secure – – Trojan.Win32.Srizbi.s
FileAdvisor – – –
Fortinet – – W32/Srizbi.XO!tr.rkit
Ikarus – – Virus.Trojan.Win32.Srizbi.s
Kaspersky – – Trojan.Win32.Srizbi.s
McAfee – – Srizbi
Microsoft – – TrojanDropper:Win32/Srizbi.G
NOD32v2 – – Win32/Srizbi.Gen
Norman – – –
Panda – – Trj/Srizbi.A
Prevx1 – – TROJAN.SRIZBI
Rising – – –
Sophos – – Mal/EncPk-CK
Sunbelt – – Trojan.Srizbi.CA
Symantec – – Trojan.Srizbi
TheHacker – – Trojan/Srizbi.s
VBA32 – – Trojan.Win32.Srizbi.s
VirusBuster – – Trojan.DR.Srizbi.W
Webwasher-Gateway – – Trojan.Crypt.XPACK.Gen
Derzeit erreichen uns Spam-Mails, in denen (englisch) für kostenlose Screensaver (Bildschirmschoner) geworben wird.
Das gefährliche daran ist u.a., dass die Erkennungsrate der üblichen Virenscanner extrem schlecht ist.
Selbst Kaspersky, gern als Maß aller Dinge betrachtet, schätzt die Dateien als harmlos ein.
Doch einige der Virenkiller sehen das auch anders und deklarieren die „Geschenke“ definitiv als Trojaner.
Betreff der Mails
Mit Betreffs wie
Elias best ScreenSa\/er for you
Eloy beSt $creenSaVer for youversucht die Mail unsere Aufmerksamkeit zu bekommen. Interessant daran ist, dass der Name mit dem Namen des angeblichen Absenders korrespondiert.
Die Mailtexte sind einfach gehalten. Erwas Text – durchsetzt mit Sonderzeichen – und ein einzelner Link.
Free 3D screen$aver
The New collection of $creensavers.
*Downlo@d. now!
Cllck
here (Link entfernt!)
Bereits beim Besuch der Seite wird von einem Virenscanner der Versuch gemeldet, einen HTML-Scriptvirus auszuführen. Die Seite selbst ist einigermaßen professionell gemacht und wirkt tatsächlich wie eine thematisch sortierte Screensaver-Sammlung.
Jotti sagt dazu:
A-Squared :Keine Viren gefunden
AntiVir :Keine Viren gefunden
ArcaVir :Keine Viren gefunden
Avast :Keine Viren gefunden
AVG Antivirus :Keine Viren gefunden
BitDefender :Trojan.Crypt.AI gefunden
ClamAV :Keine Viren gefunden
CPsecure:Keine Viren gefunden
Dr.Web :Trojan.Click.origin gefunden
F-Prot Antivirus :Keine Viren gefunden
F-Secure Anti-Virus :Keine Viren gefunden
Fortinet :Keine Viren gefunden
Ikarus :Keine Viren gefunden
Kaspersky Anti-Virus :Keine Viren gefunden
NOD32 :probably a variant of Win32/PSW.Agent.NHG gefunden (mögliche Variante)
Norman Virus Control :Keine Viren gefunden
Panda Antivirus :Keine Viren gefunden
Rising Antivirus :Keine Viren gefunden
Sophos Antivirus: Keine Viren gefunden
VirusBuster :Keine Viren gefunden
VBA32 :Keine Viren gefunden
Folgendes meldet Virustotal
BitDefender: Trojan.Crypt.AI
CAT-QuickHeal: (Suspicious) – DNAScan
Ikarus: Trojan-Downloader.Agent.AGL
Kaspersky: Trojan-Downloader.Win32.Small.ths
Microsoft: Backdoor:Win32/Koceg.gen!A
NOD32v2: probably a variant of Win32/PSW.Agent.NHG
Panda: Suspicious file
Prevx1: Heuristic: Suspicious Self Modifying File
Webwasher-Gateway: Worm.Win32.Malware.gen (suspicious)
Was viele vielleicht gar nicht wissen: Windows-Bildschirmschoner sind im Grunde erst einmal nichts anderes als ausführbare Programme. Tatsächlich könnte man sie sogar starten, wenn man die Dateiendung von .scr auf .exe ändert.
Es empfiehlt sich also grundsätzlich, bei Bildschirmschonern die man aus dem Internet oder per Mail bekommt, Vorsicht walten zu lassen.
Eventuell sollten Sie solche „Geschenke“ erst einmal online scannen. Denn selten trifft so wie hier der Name „trojanisches Pferd“ zu…
Um zukünftig bei solchen Gefahren frühzeitig gewarnt zu sein, tragen Sie sich in meinen kostenlosen Newsletter ein.
Die Volksbank-Phisher versuchen es mal wieder!
Angeblich muss man mal wieder seine Kundendaten ausfüllen. Dazu wird man angeblich auf eine Seite der Volksbank gebeten.
Tatsächlich wird aber eine chinesische Webadresse aufgerufen, die dem Besucher ein Formular zum Ausfüllen präsentiert.
Bereits mit dem Text der Mail haben die – vermutlich nicht deutschen – Idioten Probleme. Und auch das Formular ist nicht in der Lage, Umlaute korrekt darzustellen.
Neuer Zugang zum Online-Banking
HTML-Version:
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Raiffeisenbanken möchte Sie bitten,
die Formular zur Bestätigung der Kundendaten auszufüllen.Das Ausfüllen dieses Formulars ist obligatorisch für alle Bankkunden.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestätigen. Bitte füllen Sie dieses Formular vollständig aus.
http://www.vr-networld.de/DEGCB/JPS/portal/Index.doWir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen für Ihre Mithilfe.***** Bitte antworten sie nicht auf diese mail *****
Diese Nachricht wurde automatisch generiert
Reiner Text (Umlautprobleme)
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Raiffeisenbanken mochte Sie bitten,
die Formular zur Bestatigung der Kundendaten auszufullen.Das Ausfullen dieses Formulars ist obligatorisch fur alle Bankkunden.
Wir mochten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestatigen. Bitte fullen Sie dieses Formular vollstandig aus.http://www.volksbank.deinst31.cn/DEGCB/JPS/portal/Index.do
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen fur Ihre Mithilfe.***** Bitte antworten sie nicht auf diese mail *****
Diese Nachricht wurde automatisch generiert
Tatsächlich geht es zu:
http://vr-networld.de.firu10.cn/DEGCB/JPS/gad
einer chinesischen Adresse auf einem rumänischen Server.
Vorsicht, weiterlesen. Könnte Exploit im iFrame enthalten!!!
Firefox erkennt die Phishing-Attacke sofort!
Die oben genannte Seite enthält noch einen 1-Pixel großen iFrame, welcher zu einem Server in Hong Kong führt. Der könnte ein Exploit beinhalten!
Ihre Bank wird Sie niemals auffordern, ihre Daten auf so einer Seite einzugeben. NIEMALS! Ignorieren Sie solche Mails. Löschen Sie sie. Gucken Sie NICHT aus Neugier nach, was sich dahinter verbirgt!
Die Doofen sterben nie aus…
Das wissen auch die Verbreiter von Trojanern und deshalb senden Sie uns eine Email, mit pornografischem Locktext und einem Anhang mit dem Namen video.zip (17.424. Byte). Diese enthält den angeblichen Bildschirmschoner video.scr (29.184 Byte).
Virustotal und alle gängigen Virenkiller kennen die Bedrohung:
AhnLab-V3 2008.1.26.10 2008.01.25 –
AntiVir 7.6.0.53 2008.01.25 TR/Dropper.Gen
Authentium 4.93.8 2008.01.25 W32/Trojan2.UDL
Avast 4.7.1098.0 2008.01.25 –
AVG 7.5.0.516 2008.01.25 SHeur.AOUK
BitDefender 7.2 2008.01.25 Trojan.Peed.IUH
CAT-QuickHeal 9.00 2008.01.25 –
ClamAV 0.91.2 2008.01.25 –
DrWeb 4.44.0.09170 2008.01.25 Trojan.MulDrop.10487
eSafe 7.0.15.0 2008.01.16 –
eTrust-Vet 31.3.5484 2008.01.25 –
Ewido 4.0 2008.01.25 –
FileAdvisor 1 2008.01.25 –
Fortinet 3.14.0.0 2008.01.25 –
F-Prot 4.4.2.54 2008.01.25 W32/Trojan2.UDL
F-Secure 6.70.13260.0 2008.01.25 Trojan:W32/Agent.EFO
Ikarus T3.1.1.20 2008.01.25 Win32.Outbreak
Kaspersky 7.0.0.125 2008.01.25 Trojan-Downloader.Win32.Agent.hzc
McAfee 5215 2008.01.24 –
Microsoft 1.3109 2008.01.25 –
NOD32v2 2823 2008.01.25 –
Norman 5.80.02 2008.01.24 –
Panda 9.0.0.4 2008.01.25 Trj/Spammer.ADX
Prevx1 V2 2008.01.25 Heuristic: Suspicious Hijacker
Rising 20.28.41.00 2008.01.25 –
Sophos 4.25.0 2008.01.25 Troj/Pushdo-Gen
Sunbelt 2.2.907.0 2008.01.25 –
Symantec 10 2008.01.25 Trojan.Pandex
TheHacker 6.2.9.197 2008.01.25 –
VBA32 3.12.2.5 2008.01.21 –
VirusBuster 4.3.26:9 2008.01.25 Trojan.DR.Pandex.Gen.4
Webwasher-Gateway 6.6.2 2008.01.25 Trojan.Dropper.Gen
Wenn eine Email damit lockt, dass Harry Potter es Angelina Jolie in ihren dicken A…. besorgt und das mit einem Video von 17 KB Größe dokumentieren will – kann das wohl stimmen?
Na also!
Kaum ist für die Virenverbreiter „das Weihnachchtsgeschäft“ vorbei, machen sie mit einem neuen Trojaner als Liebesbrief weiter.
withlove.exe heißt die Datei, die von denselben Verursachern verbreitet wird.
Dieses mal haben sie keine viel versprechenden Domains gekauft, sondern verteilen ihre Trojaner über einfache IPs. Wieder findet sich im Quelltext ein Verweis auf Dateinamen wie fck2008.exe und fck2009.exe
Spammails mit Texten wie
Hugging My Pillow http://111.222.333.444/
I Would Dream http://111.222.333.444/ (IPs von virenkiller.de geändert)
versuchen Sie Dumme auf Ihre Seiten zu locken.
Dort steht auch nicht besonders viel.
Ein Herz und darunter:
Your download should begin shortly. If your download does not start
in 10-20 seconds, you canclick here to launch the download
and then press Run. Enjoy!
Der Trojaner scheint relativ neu, kaum jemand erkennt ihn.
Jotti meint dazu:
BitDefender Trojan.Peed.ITB gefunden
NOD32 a variant of Win32/Nuwar gefunden
Etwas mehr erkennt Virustotal:
BitDefender 7.2 2008.01.16 Trojan.Peed.ITB
NOD32v2 2795 2008.01.16 a variant of Win32/Nuwar
Prevx1 V2 2008.01.16 Stormy:All Strains-All Variants
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)
Update 18.1.2008
Es gibt eine neue Version des Trojaners, 115.201 Byte groß.
Name ist weiterhin withlove.exe
Kaspersky (GData), McAfee, Fprot, Antivir erkennen ihn nicht.Hier die Liste der Scanner, die ihn laut Virustotal erkennen:
AVG 7.5.0.516 2008.01.18 I-Worm/Nuwar.L
BitDefender 7.2 2008.01.18 Trojan.Peed.ITK
ClamAV 0.91.2 2008.01.18 Trojan.Small-4843
Fortinet 3.14.0.0 2008.01.18 W32/PackTibs.L
F-Secure 6.70.13260.0 2008.01.18 Suspicious:W32/Malware!Gemini
Microsoft 1.3109 2008.01.18 TrojanDropper:Win32/Nuwar.gen!A
Prevx1 V2 2008.01.18 Stormy:Worm-All Variants
Symantec 10 2008.01.18 Trojan.Peacomm.D
Webwasher-Gateway 6.6.2 2008.01.18 Win32.Malware.gen!88 (suspicious)Legt folgende Dateien im System ab:
%System%\burito.ini
%System%\burito5e84-1216.sysVerändert Registry-Schlüssel
(Nach BURITO5E84 suchen)
In letzter Zeit versuchen die Virenverbreiter auch noch de dümmsten unter den Internetsurfern zu bekommen.
Dazu reicht scheinbar eine Mail bei der im Betreff Quick, grab this (Schnell, schnapp Dir das) steht.
Die Mail selbst besteht aus nicht mehr als dem Wort Check, gefolgt von einer IP-Adresse.
Keinerlei verlockende Angebote. Keine Hinweise auf das Ziel. Nichts.
Landet man dann dort, sieht man eine einigermaßen professionell gemachte Seite, welche mehr als 1000 kostenlose Spiele verspricht. Ein anständiger Browser wie Firefox warnt sofort davor, dass es sich bei dieser Seite mit ziemlicher Sicherheit um einen Betrugsversuch handelt.
Auffällig ist der dicke Downloadbutton. Und ein Download bringt dann tatsächlich auch etwas:
1. Eine Datei namens ArcadeWorld.exe
2. Einen Trojaner-Virus!
Knapp 147 kb groß ist die Datei, die aktuelle Virenscanner sofort als Trojaner erkennen.
Virustotal sagt dazu:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.19.0 2007.09.19 –
AntiVir 7.6.0.10 2007.09.19 Worm/Storm.tcs
Authentium 4.93.8 2007.09.18 –
Avast 4.7.1043.0 2007.09.18 Win32:Tibser
AVG 7.5.0.485 2007.09.18 Downloader.Tibs
BitDefender 7.2 2007.09.19 Trojan.Peed.IJX
CAT-QuickHeal 9.00 2007.09.18 (Suspicious) – DNAScan
ClamAV 0.91.2 2007.09.19 Trojan.Small-4082
DrWeb 4.33 2007.09.19 Trojan.Packed.142
eSafe 7.0.15.0 2007.09.17 Suspicious Trojan/Worm
eTrust-Vet 31.2.5146 2007.09.19 –
Ewido 4.0 2007.09.18 –
FileAdvisor 1 2007.09.19 –
Fortinet 3.11.0.0 2007.09.19 W32/PackTibs.C
F-Prot 4.3.2.48 2007.09.18 –
F-Secure 6.70.13030.0 2007.09.19 Packed.Win32.Tibs.by
Ikarus T3.1.1.12 2007.09.19 –
Kaspersky 4.0.2.24 2007.09.19 Packed.Win32.Tibs.by
McAfee 5122 2007.09.18 Tibs-Packed
Microsoft 1.2803 2007.09.19 Trojan:Win32/Tibs.EI
NOD32v2 2540 2007.09.19 Win32/Nuwar.Gen
Norman 5.80.02 2007.09.18 Tibs.gen158
Panda 9.0.0.4 2007.09.19 –
Prevx1 V2 2007.09.19 –
Rising 19.41.20.00 2007.09.19 –
Sophos 4.21.0 2007.09.19 Mal/Dorf-D
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Symantec 10 2007.09.19 Trojan.Packed.13
TheHacker 6.2.5.061 2007.09.17 –
VBA32 3.12.2.4 2007.09.18 –
VirusBuster 4.3.26:9 2007.09.18 Trojan.Tibs.Gen!Pac.132
Webwasher-Gateway 6.0.1 2007.09.18 Worm.Storm.tcs
Tipps:
Was soll man da schon für einen Tipp geben? Die Mail kommt von einer unbekannten Emailadresse, einer unbekannten Person. Sie enthält ein englisches Betreff und im Mailtext selbst nur den „Befehl“, eine dubiose IP-Adresse anzusurfen…
So was löscht man sofort!
Und ansonsten: Immer schön die Virenscanner aktuell halten!
Mittlerweile kann man ja sagen, dass Spam und Viren in einem Atemzug zu nennen sind. Viele Virenprogramme installieren sich im Computer, um diesen als Versender von weiteren Viren aber auch Smap-Emails zu verwenden.
Was liegt also näher, ein Programm zur Bekämpfung von Spam zu nutzen, um diese Art der Viren und dem Spam gleichzeitig zu begegnen?
Ich habe da einiges ausprobiert und festgestellt, dass es letztlich kaum etwas einfacheres und besseres gibt, als das kostenlose Freeware-Programm Spamihilator.
Unter http://www.spamihilator.com/index.php?lang=de (deutsche Seite des Programms) läßt sich der Spamfilter downloaden.
Spamihilator sitzt gewissermaßen als Filter zwischen dem Mailserver und dem Mailprogramm. Alle Email die abgeholt wird, muß durch diesen Filter. Aufgrund gewisser Gesetztmäßigkeiten lassen sich viele Mails bereits beim Start als Spam erkennen.
Aber der Spamihilator ist lernfähig!
In einem Vorschaufenster bekommt der Anwender zu sehen, welche Mails bearbeitet wurden und wie das Programm sie eingestuft hat. Diese Einstufung läßt sich durch einen einfachen Klick nachträglich ändern. Meint der Benutzer also, das bestimmte Mails eben kein Spam oder angeblich harmlose doch Spam sind, so reicht ein Klick. Daraus erarbeitet sich das Programm seine Regeln für die weitere Einstufung.
Aber Spamihilator geht noch weiter. Spam wird zukünftig gar nicht mehr ans Emailprogramm weitergereicht. Nach dem Lernprogramm kann der Müll gleich auf dem server gelöschtw erden, ohne je den Computer verseucht zu haben.
Nun, viele Virenmails ähneln ohnehin Spamnachrichten. Und die Lernfunktion sowie ein Eingreifen des Benutzers bringen Spamihilator dazu, auch Virenmails in Zukunft treffsicher auszusortieren.
Bereits nach wenigen tagen wird der Rcehner so sicher sein, dass weder von Viren noch von Spam Gefahr droht. Und das alles kostenlos!
Spamihilator ist deutschsprachig und läßt sich einfach einbinden. Eine gute Anleitung ist erhältlich. Es reicht schon, in den Mailkontoeinstellungen winzige Änderungen vorzunehmen.
Als Server zur Mailabholung gibt man ein localhost. Nun benutzt man als Benutzernamen eine Kombination aus alter Mailservereinstellung und Benutzernamen. Etwa in der Art von pop.email.de&benutzer123.
Das wars! Ab sofort wird die Mail gefiltert und der Rechner sicherer. Um die Arbeit des Spamfilters noch zu verbessern, lassen sich zahlreiche Plugins einfach installieren. So wird das Programm von Mail zu Mail genauer.
Prädikat: genial!
Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen
Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.