Virenkiller.de

Angeblich kommt er vom BKA und er versucht, seine Opfer zu Erpressen…

Die Rede ist vom Trojaner UKASH, benannt nach dem Bezahlservice Ukash, den die Erpresser nutzen, um an ihr Geld zu kommen..

Sobald man sich diesen Trojaner eingefangen hat, meldet er sich mit seiner Erpressung. Dabei behauptet ein Hinweisfenster, es handele sich um einen Virus des BKA und dieser habe illegale Daten, wie z.B. kinderpornographisches Material gefunden.

Aus diesem Grunde würde der Rechner nun gesperrt und wenn der Besitzer des PC nicht 100 Euro zahle, dann würde die Festplatte gelöscht.

Nach Expertenangaben nistet sich das Ding an etwa 30 Stellen im System ein und ist schwer zu entfernen.

Allerdings IST er zu entfernen und wie das geht, schildern das BSI und der Verband eco auf der Seite botfrei.de.

Dort sind 2 PDF-Dateien zu finden, die (für Experten und für Laien) Schritt für Schritt erklären, wie man den Trojaner los wird.

Außerdem findet sich dort eine Telefonnummer, die werktags Unterstützung bietet.

Eine weitere, private und recht ausführliche Anleitung findet ihr hier. Dort wird der Trojaner „Bundespolizei Virus“ genannt und jemand hat sich die Mühe gemacht, umfangreiches material dazu zusammenzutragen. Inklusive einer ISO-Datei zum Brennen einer CD, mit der man das System starten und reinigen kann.

Achtung! Derzeit sind Mails unterwegs, die auf eine angebliche Seite von Facebook leiten. In der URL ist eine Webadresse auf einem Server der in den USA bei Yahoo gehostet wird.

Die Datei heißt z.B. IMG9513610430503019207-JPG.EXE und damit ist klar:

Windows-Laien haben die Erkennung “bekannter Dateiendungen” abgeschaltet und sehen dort nur ein Icon für eine Grafik.

Die Datei ist nur 32.768 Byte groß und den meisten Virenscannern unbekannt.

Der Virus ist unter den verbreiteten Scannern heute nur G-Data und Avast bekannt. Ebenfalls Jiangmin, McAfee+Artemis und Prevx kennen ihn. Meist läuft er unter dem Namen Win32:Zbot-MOY

Im Verzeichnis von Windows werden folgende Dateien angelegt:
admintxt.txt
livemessenger.exe

Letztere wird bei jedem Start von Windows automatisch mit gestartet. Die Datei kontaktet über den Port 1050 den Server 202.57.49.241

Dann schafft er eine neue Verbindung zu einem IRC-Server.

Um solche Meldungen aktuell und früh zu bekommen, meldet Euch am Newsletter an!

Wieder mal ist ein Virus unterwegs, der sich als Mail vom Paketdienst UPS in den USA tarnt. An der Mail, die dann Absender haben die mit UPS nichts zu tun haben, hängt ein ZIP-Archiv. Darin befindet sich eine ausführbare Datei, die sich noch mit einem Excel-Icon tarnt.

Betreff der Mail:
Postal Tracking #0DTZK13381QLTL9

Text der Mail:
Hello!
We were not able to deliver postal package you sent on the 14th of March in time
because the recipient?s address is not correct.
Please print out the invoice copy attached and collect the package at our office.
Your United Parcel Service of America

Name der Virusdateien:
Eine Datei namens UPS_DOC_986001.exe (52.224 Byte) befindet sich in einem Archiv namens UPS_DOC_986001.zip (34.506 Byte)

Nochmal zum Mitschreiben!
Auf keinen Fall sollte man sein Windows in der Standardeinstellung belassen, die besagt, dass “bekannte Dateiendungen” ausgeblendet werden. In so einem Fall liest man nämlich nur UPS_DOC_986001, übersieht das “exe” und startet das Ding dämlicherweise.

Diese Einstellungen ändert man in den Ordneroptionen!

Danke für Ihre Aufmerksamkeit… ;-)

Einige Virenscanner kennen das Ding zum Glück schon. Leider nicht alle und nicht mal die weit verbreiteten wie etwa Antivir!

a-squared     4.0.0.101     2009.05.28     Gen.Trojan!IK
Authentium     5.1.2.4     2009.05.28     W32/Zbot.YM
BitDefender     7.2     2009.05.28     Gen:Trojan.Heur.3004FB9EBC
CAT-QuickHeal     10.00     2009.05.27     (Suspicious) – DNAScan
F-Prot     4.4.4.56     2009.05.28     W32/Trojan3.AXD
GData     19     2009.05.28     Gen:Trojan.Heur.3004FB9EBC
McAfee+Artemis     5628     2009.05.27     Artemis!DE90A24F3DFB
Microsoft     1.4701     2009.05.27     VirTool:Win32/Obfuscator.FH
Sophos     4.42.0     2009.05.28     Mal/WaledPak-A

Als UPS-Mail haben die Virenschleudern es schon ein paar Mal versucht. Wundert sich keiner, woher UPS seine Emailadresse hat?!

Mit einem weihnachtlichen Gruß und einer angeblich anhängenden Weihnachtskarte versucht sich ein kleiner Trojaner im Januar 2008 zu verbreiten.

Immerhin: In Japan kursierte diese Mail bereits um Weihnachten herum – nicht dass die Japaner Weihnachten feierten… :-)

Mailtext:
Good Day, dear!

Jane sent you eCard with greetings.
Check your attachment ;)
Merry Christmas!

Best Regards.

Daran hängt eine ZIP-Datei mit dem Namen eCard.exe, die nur 16.892 Byte groß ist und ihrerseits die Datei eCard.exe enthält (18.160 Byte)

Jotti und Virustotal erkennen den Virusbefall, aber eben leider nicht alle Scanner.

Analyse von Virustotal:
http://www.virustotal.com/de/analisis/53afd7f6894492eeba7706e47316f284

Analyse von Jotti

A-Squared  Keine Viren gefunden
AntiVir  Keine Viren gefunden
ArcaVir  Trojan.Pakes.Byc gefunden 
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Trojan.Pandex.AC gefunden 
ClamAV  Trojan-Small gefunden 
CPsecure  Keine Viren gefunden
Dr.Web  BackDoor.Bulknet.118 gefunden 
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Trojan.Win32.Pakes.byc gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Virus.Trojan.Win32.Pakes.byc gefunden 
Kaspersky Anti-Virus  Trojan.Win32.Pakes.byc gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Rising Antivirus  Keine Viren gefunden
Sophos Antivirus  Troj/Pushdo-F gefunden 
VirusBuster  Trojan.DR.Pandex.Gen.4 gefunden 
VBA32  Keine Viren gefunden

Derzeit versuchen wieder einige Virenverbreiter, den Anlass des Jahreswechsels dazu zu verwenden, ihre Trojaner in der Welt zu verbreiten.

Dieses Mal haben sie sich einige „passende Domains“ gesichert, um angebliche elektronische Neujahrspostkarten zu versenden, hinter denen sich aber in Wirklichkeit ein Trojaner verbirgt.

Unter Domainnamen wie

uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
freshcards2008.com

Update

Neu hinzugekommen:
http://hohoho2008.com/ mit happy_2008.exe
http://hellosanta2008.com
http://parentscards.com
http://santapcards.com/

Und täglich kommen neue Domains für den Sturm-Trojaner hinzu:
http://merrychristmasdude.com/ (3.1.2007)
http://santawishes2008.com/ (4.1.2007)
http://HAPPY2008TOYOU.COM (4.1.2008)
http://postcards-2008.com (4.1.2008)

verbreiten Sie die Dateien mit Namen wie:

happy-2008.exe
happynewyear2008.exe
jeweils 143.873 Byte groß

Auskommentiert auf den Webseiten sind auch Namen wie
fck2008.exe und fck2009.exe

Viele Scanner erkennen die Gefahr bereits und identifizieren den Virus als

TR/Crypt.XDR.Gen
W32/Dropper.gen6
Win32:Zhelatin-ASX
W32/Tibs.G@mm

Die Domains selbst haben gar keinen Inhalt außer einem englischsprahigen Hinweis

Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!

Auch die Emails sind sehr primitiv. Das Betreff lautet beispielsweise „Message for new year“ und der Inhalt:

As you embrace another new year
xxxx://newyearcards2008.com/

Update 30.12.2007:
Es wird eine neue version der Mail verschickt, die etwas mehr „personalisiert“ wurde, indem man dem Spruch als Anrede die Emailadresse des Empfängers hinzufügt.

Happy New Year To name@emailadresse.tld!
http://freshcards2008.com/

Jotti meint dazu:

A-Squared: Keine Viren gefunden
AntiVir: TR/Crypt.XDR.Gen gefunden:
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Dropper.Generic.TNQ gefunden:
BitDefender: Trojan.Peed.IRM gefunden:
ClamAV: Keine Viren gefunden
CPsecure: Keine Viren gefunden
Dr.Web: Trojan.Spambot.2556 gefunden:
F-Prot Antivirus: Keine Viren gefunden
F-Secure Anti-Virus: Email-Worm:W32/Zhelatin.PS gefunden:
Fortinet: Keine Viren gefunden
Ikarus: Keine Viren gefunden
Kaspersky Anti-Virus: Email-Worm.Win32.Zhelatin.pv gefunden:
NOD32: Win32/Nuwar.BE gefunden:
Norman Virus Control: Keine Viren gefunden
Panda Antivirus: Keine Viren gefunden
Rising Antivirus: Keine Viren gefunden
Sophos Antivirus: Mal/Dorf-H gefunden:
VirusBuster: Trojan.DL.Tibs.JO gefunden:
VBA32: Keine Viren gefunden

Und der Onlinescan?

Bei Virustotal und Jotti erkennen den Virus die meisten Scanner. Auch von den Scannern auf unserer Seite http://www.virenkiller.de/onlinevirenscanner erkennen Ihn – bis auf Norman(!) – alle zuverlässig.

Update

Auf der Seite http://www.threatexpert.com/report.aspx?uid=1c717d77-f5ea-4627-86fe-dc164d924dab gibt es eine ziemlich gute Analyse des Verhaltens dieses Trojaners. Insbesondere auch der Dateien, die noch angelegt werden, wie oriieke7cb3f68.sys und oriieke.ini.

Drauf gekommen bin ich durch das totale Versagen des Norman-Scanners, der zwar immerhin feststellt, dass diese Dateien angelegt werden, daraus aber auch am 4.1. noch keinerlei Schlüsse auf Malware zieht :-)

Der Wunsch nach mehr Anonymität im Internet wird nicht nur bei Kriminellen größer. Seit paranoid wirkende Politiker das Grundgesetz untergraben, das zu schützen sie eigentlich angetreten waren, will auch „Otto Normalsurfer“ etwas unsichtbarer sein.

Eine Möglichkeit dazu bietet das „Tor Netzwerk“ ( http://de.wikipedia.org/wiki/Tor_%28Netzwerk%29 ).

Und will man es nicht installieren oder ab und zu auch mitnehmen, empfehlen sich sogenannte „portable Lösungen“, die auch auf einem USB-Stick funktionieren, wie etwa „PortableTor“.

Doch dieses macht in den letzten Tagen mehr und mehr Anwender misstrauisch. Mehrere Virenscanner, darunter auch Aviras Antivir, melden beim Start der Anwendung einen Virus.

Onlinescans bei Jotti oder Virustotal melden ebenfalls häufig einen Befall durch einen Trojaner.

Gemeldet werden z.B.: VBS/Runner.8192, TR/Drop.Agent.opr, Trojan.Dater, Trojan.Drop.Agent.opr.

Im Netz sind dazu noch keine Warnungen zu finden. Auch auf der Projektseite selbst ist alles eitel Freude und Sonnenschein…

Doch die Erfahrung zeigt, dass es bei solchen Warnungen besser ist, erst einmal abzuwarten und den Einsatz des Programms auszusetzen. Und genau das empfehle ich.