Virenkiller.de

9. April 2008

Unbekannter Trojaner als Codec-Download [Update]

Category: Spam,Virenwarnung – virenkiller – 13:31

stormcodec 9.4.2008

Derzeit kursieren Emails, die den üblichen Spam-Trojaner-Attacken der letzten Monate zwar stark ähneln, aber dieses Mal tatsächlich einen neuen Trojaner verbreiten.

Auch sind es dieses mal keine "Saison-Emails", die sich z.B. als Valentinskarte, Neujahrsgruß oder Weihnachtsemail tarnen.

Vielmehr sollen die Adressen dieses Mal den Anschein erwecken, als handele es sich um Videos.

Neu ist auch, dass es sich nicht um reine IP-Adressen handelt, sondern um normale Domains.

Als Betreff kommen sie etwa mit:
Deep in my heart
Just you and me
Lost in Love

Im Mailtext steht nur
Thinking Of You All Day
You are in my heart
With you by my side

gefolgt von einer Internetadresse.

Dann präsentiert sich die seite wie auf meinem obigen Screenshot. Das vermeintliche Videofenster ist nur eine GIF-Datei und ein Klick darauf bzw. auf den Link darunter soll eine Datei namens StormCodec.exe oder StormCodec8.exe downloaden.

Es wird vorgespiegelt, dass man das Video nicht sehen könne, weil der Videocodec nicht stimmt und deshalb solle man den richtigen Codec downloaden.

Text vollständige Text lautet:

You have no Storm Codec on your PC.
Download it and choose either "Open" or "Run".
Enjoy your multimedia experience!

Die Erkennungsraten sind derzeit miserabel!

Kaspersky (und seine Clones wie GDATA): Fehlanzeige

Bei Virustotal erkennt ihn nur Bitdefender überhaupt als Virus:
BitDefender: Trojan.Crypt.AY

Das Labor von Avira sagt "Damaged File".

Es ist damit zu rechnen, dass es dieses Mal mit der Erkennung länger dauern wird.

Update 11.4.2008

Mittlerweile sind die Erkennungsraten geringfügig besser geworden.

Es wird jetzt aber auch mit neuen Themen gelockt

Zum Beispiel mit einem Protest gegen die Olympiade in China oder Videos der Eagles

Seitentitel:
Hot New Clips Added Daily

Betreff:
Protests, support surround Olympic torch in San Francisco
New video

Mailtext:
San Francisco protests (plus Webseitenandresse in China)
Eagles finished a new video. See the version before MTV airs it. Go here
to get the video

In den Mails werden jetzt auch Adressen bei blogspot.com beworben, die dann direkt auf chinesische Server weiterleiten.

Einfluss aufs System

Der Zhelatin-Trojaner installiert sich selbst im Autostart von Windows und startet aus dem Windowsverzeichznis die Datei kavir.exe.

Außerdem wird dort die Datei nivavir.config agelegt.

Die Onlinescan -Ergebnisse sind aber noch nicht wirklich überzeugend:

Jotti:
A-Squared  Keine Viren gefunden
AntiVir  Keine Viren gefunden
ArcaVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  I-Worm/Nuwar.R gefunden 
BitDefender  Trojan.Peed.JEL gefunden 
ClamAV  Keine Viren gefunden
CPsecure  Keine Viren gefunden
Dr.Web  Keine Viren gefunden
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Email-Worm.Win32.Zhelatin.xh gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Keine Viren gefunden
Kaspersky Anti-Virus  Email-Worm.Win32.Zhelatin.xh gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Rising Antivirus  Keine Viren gefunden
Sophos Antivirus  Troj/Dorf-BA gefunden 
VirusBuster  Worm.Zhelatin.Gen!Pac.6 gefunden 
VBA32  Keine Viren gefunden

Virustotal:

AhnLab-V3 2008.4.10.2 2008.04.11 –
AntiVir 7.6.0.81 2008.04.10 –
Authentium 4.93.8 2008.04.10 –
Avast 4.8.1169.0 2008.04.10 –
AVG 7.5.0.516 2008.04.10 I-Worm/Nuwar.R
BitDefender 7.2 2008.04.11 Trojan.Peed.JEL
CAT-QuickHeal 9.50 2008.04.10 (Suspicious) – DNAScan
ClamAV 0.92.1 2008.04.10 –
DrWeb 4.44.0.09170 2008.04.10 –
eSafe 7.0.15.0 2008.04.09 Suspicious File
eTrust-Vet 31.3.5687 2008.04.10 –
Ewido 4.0 2008.04.10 –
F-Prot 4.4.2.54 2008.04.10 –
F-Secure 6.70.13260.0 2008.04.11 Email-Worm.Win32.Zhelatin.xh
FileAdvisor 1 2008.04.11 –
Fortinet 3.14.0.0 2008.04.10 –
Ikarus T3.1.1.26 2008.04.11 –
Kaspersky 7.0.0.125 2008.04.11 Email-Worm.Win32.Zhelatin.xh
McAfee 5271 2008.04.10 –
Microsoft 1.3408 2008.04.11 Backdoor:Win32/Nuwar.gen!C
NOD32v2 3017 2008.04.10 –
Norman 5.80.02 2008.04.10 –
Panda 9.0.0.4 2008.04.10 –
Prevx1 V2 2008.04.11 –
Rising 20.39.32.00 2008.04.10 –
Sophos 4.28.0 2008.04.11 Troj/Dorf-BA
Sunbelt 3.0.1032.0 2008.04.08 –
Symantec 10 2008.04.11 Trojan.Peacomm
TheHacker 6.2.92.273 2008.04.11 –
VBA32 3.12.6.4 2008.04.06 –
VirusBuster 4.3.26:9 2008.04.10 Worm.Zhelatin.Gen!Pac.6
Webwasher-Gateway 6.6.2 2008.04.10 –

3. März 2008

Falsche Virus Grusskarte von FunnyPostCard.com

Category: News,Spam,Virenwarnung – virenkiller – 09:07

FunnyPostCard.comWieder mal versuchen die Bot-Netz-Betreiber ihre Trojaner loszuwerden. Zuletzt haben Sie es mit angeblichen Grußkarten zum Valentinstag versucht. Jetzt ist mal wieder die Grußkartenmasche dran.

Immer die selbe Methode verwenden sie beim Verbreiten Ihrer Dateien. Eine Spam-Email lockt mit relativ primitiven Einzeilern zu einer IP-Adresse, statt zu einer Domain.

Beispiel:
Betreff: Ecard greeting inside
Text: Someone sent you this Funny Ecard. It is Hilarious! http://xxx.yyy.zzz.aaa/

Dieses Mal wird die Datei e-card.exe (Größe 121.345 Byte) verteilt. Besonders hinterhältig an der eigentlich recht primitiv gemachten Lockseite:

Sie gibt sich als der (unschuldige) ECard-Versender FunnyPostCard.com aus und versucht 5 Sekunden nach Betreten der Webseite, die Datei zu downloaden.

Der Trojaner selbst ist nicht so wahnsinnig gefährlich – vorausgesetzt, man benutzt einen aktuellen Virenscanner! Denn so ziemlich alle Virenkiller erkennen ihn als Variante des zumeist als „Zhelatin“ benannten Trojaners. Dieser Trojaner durchsucht den gesamten Computer nach Emailadressen und versendet wiederum verseuchte Emails an alle gefundenen Adressen.

Betreffs:
Your ecard joke is waiting
You have an ecard
We have a ecard surprise
Someone Just sent you an ecard
Did you open your ecard yet
ecard waiting for you
Open your ecard
new ecard waiting
Now this is funny
online greeting waiting
sent you an ecard

Mailtexte:
laughing Funny Card
You have been sent a Funny Postcard
You have been sent the Funny Ecard
original Funny Card
Someone Sent you this Funny Ecard
your funny postcard
original Funny Postcard
sent a Funny Postcard
personal funny postcard
FunnyPostcard
laughing funny postcard

Scan-Ergebnis bei Virustotal

AntiVir
Worm/Zhelatin.pc

AVG
I-Worm/Nuwar.N

BitDefender
Trojan.Peed.IWX

CAT-QuickHeal
Win32.Email-Worm.Zhelatin.vg

ClamAV
Trojan.Peed-130

DrWeb
Trojan.Packed.357

eSafe
Suspicious File

eTrust-Vet
Win32/Sintun!generic

Fortinet
W32/PackTibs.M

F-Prot
W32/Zhelatin.F.gen!Eldorado

F-Secure
Email-Worm.Win32.Zhelatin.vg

Ikarus
Trojan.Peed.IWV

Kaspersky
Email-Worm.Win32.Zhelatin.vg

McAfee
W32/Nuwar@MM

Microsoft
TrojanDropper:Win32/Nuwar.gen!B

NOD32v2
probably a variant of Win32/Nuwar.Gen

Sophos
W32/Dorf-AX

Symantec
Trojan.Peacomm

VBA32
Email-Worm.Win32.Zhelatin.vg

VirusBuster
Worm.DR.Zhelatin.Gen.4

Webwasher-Gateway
Worm.Zhelatin.pc

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen