Virenkiller.de

2. Dezember 2008

Trojaner: Sperrung Ihrer E-Mail – Hinweis.zip

Category: Spam,trojaner,Virenwarnung – virenkiller – 10:47

Schrecknachrichten sollen den Empfänger dazu verleiten, einen Mailanhang zu öffnen, der einen Trojaner enthält. Haben sie es letztens noch mit Mails von Inkassounternehmen versucht, kommt jetzt die Drohung, das Emailkonto zu sperren…

Und so taucht die einfach gehaltene Mail auf, die Tausende von Leuten empfangen haben und die sich nur in der jeweils verwendeten Emailadresse unterscheidet – die wird immer durch die Adresse des Empfängers ersetzt.

Betreff:
Sperrung Ihrer E-Mail name@domain.de

Mailtext:

Sehr geehrte Damen und Herren,
Ihre Email „name@domain.de“ wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 99 Beschwerden wegen Spamversand bei uns eingegangen.

Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

 

 

Wie eigentlich immer bei solchen Mails werden keine deutschen Umlaute verwendet! Allein das sollte schon Aufmerksamkeit erregen. Außerdem sollte der Absender nicht „Lourdes Tabor“ heißen sondern etwas mit Ihrem Mailanbieter zu tun haben.

An der Mail befindet sich eine Datei namens Hinweis.zip (27.831 Byte), die wiederum den eigentlichen Trojaner Hinweis.exe (40.960 Byte) enthält.

Heute, am 2.12.08, erkennen noch vergleichsweise wenige Virenscanner den Trojaner:

Jotti

A-Squared  Win32.Outbreak!IK gefunden 
AntiVir  TR/Dldr.iBill.BW gefunden 
ArcaVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Keine Viren gefunden
ClamAV  Keine Viren gefunden
CPsecure  Keine Viren gefunden
Dr.Web  Keine Viren gefunden
F-Prot Antivirus  W32/Trojan-Gypikon-based.BA!Maximus gefunden (mögliche Variante) 
F-Secure Anti-Virus  Trojan-Downloader:W32/Agent.IDO gefunden 
G DATA  Keine Viren gefunden
Ikarus  Keine Viren gefunden
Kaspersky Anti-Virus  Keine Viren gefunden
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Sophos Antivirus  Mal/EncPk-CZ gefunden 
VirusBuster  Keine Viren gefunden
VBA32  Keine Viren gefunden

Virustotal

AhnLab-V3 2008.12.2.0 2008.12.02 –
AntiVir 7.9.0.36 2008.12.02 –
Authentium 5.1.0.4 2008.12.02 W32/Trojan-Gypikon-based.BA!Maximus
Avast 4.8.1281.0 2008.12.01 –
AVG 8.0.0.199 2008.12.02 –
BitDefender 7.2 2008.12.02 –
CAT-QuickHeal 10.00 2008.12.02 –
ClamAV 0.94.1 2008.12.02 –
DrWeb 4.44.0.09170 2008.12.02 –
eSafe 7.0.17.0 2008.11.30 –
eTrust-Vet 31.6.6238 2008.12.02 –
Ewido 4.0 2008.12.01 –
F-Prot 4.4.4.56 2008.12.01 W32/Trojan-Gypikon-based.BA!Maximus
F-Secure 8.0.14332.0 2008.12.02 Trojan-Downloader:W32/Agent.IDO
Fortinet 3.117.0.0 2008.12.02 W32/Gypikon.CLF!tr
GData 19 2008.12.02 –
Ikarus T3.1.1.45.0 2008.12.02 Win32.Outbreak
K7AntiVirus 7.10.539 2008.12.01 –
Kaspersky 7.0.0.125 2008.12.02 –
McAfee 5451 2008.12.01 –
McAfee+Artemis 5451 2008.12.01 –
Microsoft 1.4104 2008.12.02 TrojanDropper:Win32/Emold.D
NOD32 3656 2008.12.02 –
Norman 5.80.02 2008.12.01 –
Panda 9.0.0.4 2008.12.02 –
PCTools 4.4.2.0 2008.12.01 –
Prevx1 V2 2008.12.02 –
Rising 21.06.10.00 2008.12.02 –
SecureWeb-Gateway 6.7.6 2008.12.02 Trojan.Dldr.iBill.BW
Sophos 4.36.0 2008.12.02 Mal/EncPk-CZ
Sunbelt 3.1.1832.2 2008.12.01 –
Symantec 10 2008.12.02 Downloader
TheHacker 6.3.1.2.171 2008.12.02 –
TrendMicro 8.700.0.1004 2008.12.02 –
VBA32 3.12.8.9 2008.12.01 –
ViRobot 2008.12.2.1495 2008.12.02 –
VirusBuster 4.5.11.0 2008.12.01 –

Analyse

Der Trojaner legt verschiedene Dateien auf dem befallenen System an.

Im Benutzerprofil: Sperrung.rtf
Unter C:\Programme\Microsoft Common\svchost.exe

Der vermutlich aus Russland stammende Trojaner versucht mehrere Server zu erreichen und dort die Datei
ld.php?v=1&rs=13441600&n=1&uid=1
aufzurufen.

Empfohlene Vorgehensweise

Zuallererst natürlich sollten Sie die Mail einfach löschen! Entpacken Sie nicht Hinweis.zip und wenn doch: Hinweis.exe ist ein Trojaner. Starten Sie die Datei NICHT – auch wenn Sie scheinbar das Icon einer Word-Datei hat.

… und abonnieren Sie meinen kostenlosen Newsletter – um immer früh von solchen Bedrohungen zu erfahren.

9 Comments

  1. Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
    Vielen, vielen Dank für die Hilfe.

    Kommentar by Andreas — 21. Oktober 2013 @ 18:22

  2. Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.

    Kommentar by virenkiller — 21. Oktober 2013 @ 21:25

  3. Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.

    Kommentar by Andreas — 23. Oktober 2013 @ 07:58

  4. Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.

    http://www.virenkiller.de/onlinevirenscanner/

    Kommentar by virenkiller — 23. Oktober 2013 @ 08:01

  5. Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.

    PS.: Ich finde virenkiller.de echt SUPER!!!

    Kommentar by Andreas — 23. Oktober 2013 @ 09:31

  6. Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
    Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
    Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
    Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
    Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
    S.o.S!

    Kommentar by Scully — 5. Januar 2014 @ 07:14

  7. Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.

    Kommentar by virenkiller — 5. Januar 2014 @ 12:13

  8. Hallo virenkiller,

    ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.

    Kommentar by Anna — 4. Juni 2014 @ 16:34

  9. Hallo Anna,

    ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.

    Kommentar by virenkiller — 4. Juni 2014 @ 18:27

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen