26. Juni 2012
Offensichtlich nicht der deutschen Sprache mächtig, sind die Verbreiter dieses Tojaners.
Das Betreff lautet tatsächlich
„Deutsche Post. Sie mussen eine Postsendung abholen.“
Umlaute besitzt die Tastatur dieses Pfeife also schon einmal nicht.
Das merkt man auch im weiteren Text:
Lieber Kunde,
Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.
Grund: Ein Fehler in der Leiferanschrift.
Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.
Anbei finden Sie einen Postetikett.
Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.
Vielen Dank!
Deutsche Post AG.
Der hat nicht nur in der „Leiferanschrift“ einen Fehler.
Der Anhang ist wieder einmal eine ZIP-Datei. Dieses Mal heißt sie Postetikett_DE_#825638689.zip
Darin befindet sich eine ausführbare Exe-Datei namens Postetikett_DE_#825638689.exe, welche mit einem PDF-Icon getarnt ist. Wer also sein Windows (dummerweise) immer noch in der Standardeinstellung betreibt, welche bekannte Dateiendungen ausblendet, kann da schnell mal in die Falle tappen.
Allerdings erkennen die meisten Virenscanner die Bedrohung schon, wie die Onlinescanner bei Virustotal und Jotti zeigen.
Empfehlung: Email ungelesen löschen!
Das Ding legt eine Datei namens nmhbauto.exe an. Laut McAffee ist das der Generic Downloader.nx. Außerdem wird die Datei svchost.exe im Windowsverzeichnis überschrieben.
Kommentare deaktiviert für Sie mussen eine Postsendung abholen
23. Juni 2010
Eine seltsame Mail erreicht derzeit einige Leute. Darin ist die Rede von einer Antwort auf eine Webseitenanfrage.
Clever gemacht ist die Tatsache, dass sogar ein aktuelles Datum verwendet wird. Die Nachricht ist deutsch gehalten, allerdings ganz offensichtlich (fehlende Umlaute und englische Anrede “Hello”) aus einem anderen Land.
Nachrichtentext:
Hello, hierkommt @ dieemailadresse .de.
Die Antwort auf Ihre Frage uber das Profil auf unserer
Website 21.06.2010.
Statistik in der Datei enthalten, wird es ein Vergnugen,
in der Zukunft zusammenarbeiten werden.
ID:7041
Best Regards,
{LINE[nameff]}.
An der Mail befi8ndet sich ein Anhang namens Document56.zip (20.417 Bytes) in dem wiederum eine Datei namens
Document56.doc__________________________________________________________________________________________.exe
enthalten ist (36.864 Bytes). Wie man schon sieht, handelt es sich um eine ausführbare Datei und mit den Unterstrichen versuchen die Virenverbreiter, das zu verschleiern.
Ohnehin würden es vermutlich die meisten “Normaluser” nicht bemerken, weil sie die Standardeinstellung von Windows (Endungen bekannter Dateitypen ausblenden) nie geändert haben.
Threatexpert findet in der Datei einen Trojaner, einen Keylogger. Er zeichnet Tastaturanschläge auf und sendet sie an sein “Herrchen”. So kann man schnell seine Kontozugangsdaten nach Russland oder China senden. Vermutet wird der Urheber in Russland oder Taiwan.
Folgende Dateien legt der Virus an:
%AppData%\Fupe\ibur.exe
%AppData%\Ismiok\bubo.ihx
%Temp%\1.tmp
%System%\xmcn.shq
Virustotal zeigt deutlich, dass die meisten Scanner den Trojaner nicht erkennen.
| AhnLab-V3 |
Downloader/Win32.Generic |
| BitDefender |
Gen:Trojan.Heur.cqY@ynu0W9ldf |
| F-Secure |
Gen:Trojan.Heur.cqY@ynu0W9ldf |
| GData |
Gen:Trojan.Heur.cqY@ynu0W9ldf |
| Microsoft |
Trojan:Win32/Malagent |
| NOD32 |
a variant of Win32/Kryptik.FCN |
| PCTools |
Downloader.Generic |
| Rising |
Packer.Win32.Agent.bk |
| Sophos |
Mal/Bredo-I |
| Symantec |
Downloader |
Mit unserem Newsletter sind Sie immer auf dem Laufenden
http://www.virenkiller.de/newsletter/
Kommentare deaktiviert für Keylogger in deutscher Mail
14. November 2008
![ups[1].20081114.mail](http://www.virenkiller.de/wp-content/uploads/2008/11/ups120081114mail.jpg)
Folgende Warnmeldung erreichte Virenkiller.de von den Virenforschern der Firma G Data:
Falsche UPS-Benachrichtigung verbreitet Schadsoftware – Vorgebliches Word-Dokument infiziert Anwender-Systeme
Die Experten der G DATA Security Labs warnen vor gefälschten Zustellungsbenachrichtigungen des Paketdienstes UPS.
Im Anhang von Mails, die angeblich von UPS stammen, wird der Empfänger darauf hingewiesen, dass eine Paketsendung nicht zugestellt werden konnte. Der Empfänger wird anschließend aufgefordert, eine im Anhang befindliche Rechnung auszudrucken, um das Paket in Empfang zu nehmen.
Der Anhang, der zunächst den Anschein eines gewöhnlichen Word-Dokuments erweckt, entpuppt sich bei genauerem Hinsehen als ausführbare .EXE-Datei, was allerdings durch die Verwendung eines Word-Icons und die Verschleierung der Dateiendung zunächst nicht ersichtlich ist.
Bei der Datei handelt es sich um einen Downloader, der von einem russischen Server weitere Schadsoftware nachlädt.
Details der E-Mail:
Betreff: Tracking Number [11-stellige Zufallszahl]
Absender: United Postal Services [Unterschiedliche Vornamen]
Nachricht:
—————————————
Unfortunaly we couldn’t carry you the postal parcel sent on 28, October at the right time as there is an incorrect recipient’s address.
To take your package back you should print the copy of invoice that is in the added file
[Unterschiedliche Namen]
Manager UPS
—————————————
Anhang: UPS_letterN314617.zip
enthält:
Datei: UPS_letterN314617.doc[80Leerzeichen].exe, Größe: 34816 Bytes
MD5: B614604C6885A9DD881B90D78020C536
Lädt von russischer Domain weitere Daten.
In der Registry des befallenen Systems werden Änderungen an folgenden Schlüsseln vorgenommen:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
Die schädlichen Mails werden mittels OutbreakShield-Technologie bereits von allen G DATA-Sicherheitsprodukten erkannt. Die Experten der G DATA Security Labs raten allen Anwendern zu besonderer Vorsicht im Umgang mit unverlangt zugeschickten E-Mail-Anhängen. Diese sollten im Zweifelsfall nicht geöffnet werden. Zudem sollten Betriebssystem, Anwendungssoftware und der Virenschutz Immer auf dem aktuellsten Updatestand gehalten werden.
Kommentare deaktiviert für Falsche UPS-Benachrichtigung verbreitet Schadsoftware
3. Januar 2008
Derzeit versuchen wieder einige Virenverbreiter, den Anlass des Jahreswechsels dazu zu verwenden, ihre Trojaner in der Welt zu verbreiten.
Dieses Mal haben sie sich einige „passende Domains“ gesichert, um angebliche elektronische Neujahrspostkarten zu versenden, hinter denen sich aber in Wirklichkeit ein Trojaner verbirgt.
Unter Domainnamen wie
uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
freshcards2008.com
Update
Neu hinzugekommen:
http://hohoho2008.com/ mit happy_2008.exe
http://hellosanta2008.com
http://parentscards.com
http://santapcards.com/
Und täglich kommen neue Domains für den Sturm-Trojaner hinzu:
http://merrychristmasdude.com/ (3.1.2007)
http://santawishes2008.com/ (4.1.2007)
http://HAPPY2008TOYOU.COM (4.1.2008)
http://postcards-2008.com (4.1.2008)
verbreiten Sie die Dateien mit Namen wie:
happy-2008.exe
happynewyear2008.exe
jeweils 143.873 Byte groß
Auskommentiert auf den Webseiten sind auch Namen wie
fck2008.exe und fck2009.exe
Viele Scanner erkennen die Gefahr bereits und identifizieren den Virus als
TR/Crypt.XDR.Gen
W32/Dropper.gen6
Win32:Zhelatin-ASX
W32/Tibs.G@mm
Die Domains selbst haben gar keinen Inhalt außer einem englischsprahigen Hinweis
Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!
Auch die Emails sind sehr primitiv. Das Betreff lautet beispielsweise „Message for new year“ und der Inhalt:
As you embrace another new year
xxxx://newyearcards2008.com/
Update 30.12.2007:
Es wird eine neue version der Mail verschickt, die etwas mehr „personalisiert“ wurde, indem man dem Spruch als Anrede die Emailadresse des Empfängers hinzufügt.
Happy New Year To name@emailadresse.tld!
http://freshcards2008.com/
Jotti meint dazu:
A-Squared: Keine Viren gefunden
AntiVir: TR/Crypt.XDR.Gen gefunden:
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Dropper.Generic.TNQ gefunden:
BitDefender: Trojan.Peed.IRM gefunden:
ClamAV: Keine Viren gefunden
CPsecure: Keine Viren gefunden
Dr.Web: Trojan.Spambot.2556 gefunden:
F-Prot Antivirus: Keine Viren gefunden
F-Secure Anti-Virus: Email-Worm:W32/Zhelatin.PS gefunden:
Fortinet: Keine Viren gefunden
Ikarus: Keine Viren gefunden
Kaspersky Anti-Virus: Email-Worm.Win32.Zhelatin.pv gefunden:
NOD32: Win32/Nuwar.BE gefunden:
Norman Virus Control: Keine Viren gefunden
Panda Antivirus: Keine Viren gefunden
Rising Antivirus: Keine Viren gefunden
Sophos Antivirus: Mal/Dorf-H gefunden:
VirusBuster: Trojan.DL.Tibs.JO gefunden:
VBA32: Keine Viren gefunden
Und der Onlinescan?
Bei Virustotal und Jotti erkennen den Virus die meisten Scanner. Auch von den Scannern auf unserer Seite http://www.virenkiller.de/onlinevirenscanner erkennen Ihn – bis auf Norman(!) – alle zuverlässig.
Update
Auf der Seite http://www.threatexpert.com/report.aspx?uid=1c717d77-f5ea-4627-86fe-dc164d924dab gibt es eine ziemlich gute Analyse des Verhaltens dieses Trojaners. Insbesondere auch der Dateien, die noch angelegt werden, wie oriieke7cb3f68.sys und oriieke.ini.
Drauf gekommen bin ich durch das totale Versagen des Norman-Scanners, der zwar immerhin feststellt, dass diese Dateien angelegt werden, daraus aber auch am 4.1. noch keinerlei Schlüsse auf Malware zieht :-)
Kommentare deaktiviert für Vorsicht, Neujahrspostkarten!
8. August 2007
Der Wunsch nach mehr Anonymität im Internet wird nicht nur bei Kriminellen größer. Seit paranoid wirkende Politiker das Grundgesetz untergraben, das zu schützen sie eigentlich angetreten waren, will auch „Otto Normalsurfer“ etwas unsichtbarer sein.
Eine Möglichkeit dazu bietet das „Tor Netzwerk“ ( http://de.wikipedia.org/wiki/Tor_%28Netzwerk%29 ).
Und will man es nicht installieren oder ab und zu auch mitnehmen, empfehlen sich sogenannte „portable Lösungen“, die auch auf einem USB-Stick funktionieren, wie etwa „PortableTor“.
Doch dieses macht in den letzten Tagen mehr und mehr Anwender misstrauisch. Mehrere Virenscanner, darunter auch Aviras Antivir, melden beim Start der Anwendung einen Virus.
Onlinescans bei Jotti oder Virustotal melden ebenfalls häufig einen Befall durch einen Trojaner.
Gemeldet werden z.B.: VBS/Runner.8192, TR/Drop.Agent.opr, Trojan.Dater, Trojan.Drop.Agent.opr.
Im Netz sind dazu noch keine Warnungen zu finden. Auch auf der Projektseite selbst ist alles eitel Freude und Sonnenschein…
Doch die Erfahrung zeigt, dass es bei solchen Warnungen besser ist, erst einmal abzuwarten und den Einsatz des Programms auszusetzen. Und genau das empfehle ich.
Kommentare deaktiviert für Viren in PortableTor? Anonymes Websurfen öffnet eine Hintertür
27. Juli 2007
Eine Mail die angeblich von einem Ebay-Shop stammt, versucht mal wieder auf eine virenverseuchte Seite bei Geocities zu locken.
Betreff:
Das spezielle Geschenk zum Kauf.
Mailtext:
Unsere herzlichsten Glückwünsche. Sie sind der Käufer #10.000 in unserem Geschäft, deshalb schenken wir Ihnen ein Geschenk. Welcher? Bitte, folgen Sie dem Link http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&Item=220133405551&Category=133515 und erfahren Sie das. Wir danken Ihnen für die Benutzung der Dienstleistungen unseres Geschäftes. Kaufen Sie bitte noch.
Soweit der „normale“ Mailtext. In der HTML-Version versucht man den Leser auf eine Virenverseuchte Seite zu locken.
Vorsicht, auf keinen Fall ansurfen!!!
Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de
Kommentare deaktiviert für Warnung vor gefälschter Ebay Shop Mail (10.000er Käufer)