Virenkiller.de

9. April 2008

Unbekannter Trojaner als Codec-Download [Update]

Category: Spam,Virenwarnung – virenkiller – 13:31

stormcodec 9.4.2008

Derzeit kursieren Emails, die den üblichen Spam-Trojaner-Attacken der letzten Monate zwar stark ähneln, aber dieses Mal tatsächlich einen neuen Trojaner verbreiten.

Auch sind es dieses mal keine "Saison-Emails", die sich z.B. als Valentinskarte, Neujahrsgruß oder Weihnachtsemail tarnen.

Vielmehr sollen die Adressen dieses Mal den Anschein erwecken, als handele es sich um Videos.

Neu ist auch, dass es sich nicht um reine IP-Adressen handelt, sondern um normale Domains.

Als Betreff kommen sie etwa mit:
Deep in my heart
Just you and me
Lost in Love

Im Mailtext steht nur
Thinking Of You All Day
You are in my heart
With you by my side

gefolgt von einer Internetadresse.

Dann präsentiert sich die seite wie auf meinem obigen Screenshot. Das vermeintliche Videofenster ist nur eine GIF-Datei und ein Klick darauf bzw. auf den Link darunter soll eine Datei namens StormCodec.exe oder StormCodec8.exe downloaden.

Es wird vorgespiegelt, dass man das Video nicht sehen könne, weil der Videocodec nicht stimmt und deshalb solle man den richtigen Codec downloaden.

Text vollständige Text lautet:

You have no Storm Codec on your PC.
Download it and choose either "Open" or "Run".
Enjoy your multimedia experience!

Die Erkennungsraten sind derzeit miserabel!

Kaspersky (und seine Clones wie GDATA): Fehlanzeige

Bei Virustotal erkennt ihn nur Bitdefender überhaupt als Virus:
BitDefender: Trojan.Crypt.AY

Das Labor von Avira sagt "Damaged File".

Es ist damit zu rechnen, dass es dieses Mal mit der Erkennung länger dauern wird.

Update 11.4.2008

Mittlerweile sind die Erkennungsraten geringfügig besser geworden.

Es wird jetzt aber auch mit neuen Themen gelockt

Zum Beispiel mit einem Protest gegen die Olympiade in China oder Videos der Eagles

Seitentitel:
Hot New Clips Added Daily

Betreff:
Protests, support surround Olympic torch in San Francisco
New video

Mailtext:
San Francisco protests (plus Webseitenandresse in China)
Eagles finished a new video. See the version before MTV airs it. Go here
to get the video

In den Mails werden jetzt auch Adressen bei blogspot.com beworben, die dann direkt auf chinesische Server weiterleiten.

Einfluss aufs System

Der Zhelatin-Trojaner installiert sich selbst im Autostart von Windows und startet aus dem Windowsverzeichznis die Datei kavir.exe.

Außerdem wird dort die Datei nivavir.config agelegt.

Die Onlinescan -Ergebnisse sind aber noch nicht wirklich überzeugend:

Jotti:
A-Squared  Keine Viren gefunden
AntiVir  Keine Viren gefunden
ArcaVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  I-Worm/Nuwar.R gefunden 
BitDefender  Trojan.Peed.JEL gefunden 
ClamAV  Keine Viren gefunden
CPsecure  Keine Viren gefunden
Dr.Web  Keine Viren gefunden
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Email-Worm.Win32.Zhelatin.xh gefunden 
Fortinet  Keine Viren gefunden
Ikarus  Keine Viren gefunden
Kaspersky Anti-Virus  Email-Worm.Win32.Zhelatin.xh gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
Panda Antivirus  Keine Viren gefunden
Rising Antivirus  Keine Viren gefunden
Sophos Antivirus  Troj/Dorf-BA gefunden 
VirusBuster  Worm.Zhelatin.Gen!Pac.6 gefunden 
VBA32  Keine Viren gefunden

Virustotal:

AhnLab-V3 2008.4.10.2 2008.04.11 –
AntiVir 7.6.0.81 2008.04.10 –
Authentium 4.93.8 2008.04.10 –
Avast 4.8.1169.0 2008.04.10 –
AVG 7.5.0.516 2008.04.10 I-Worm/Nuwar.R
BitDefender 7.2 2008.04.11 Trojan.Peed.JEL
CAT-QuickHeal 9.50 2008.04.10 (Suspicious) – DNAScan
ClamAV 0.92.1 2008.04.10 –
DrWeb 4.44.0.09170 2008.04.10 –
eSafe 7.0.15.0 2008.04.09 Suspicious File
eTrust-Vet 31.3.5687 2008.04.10 –
Ewido 4.0 2008.04.10 –
F-Prot 4.4.2.54 2008.04.10 –
F-Secure 6.70.13260.0 2008.04.11 Email-Worm.Win32.Zhelatin.xh
FileAdvisor 1 2008.04.11 –
Fortinet 3.14.0.0 2008.04.10 –
Ikarus T3.1.1.26 2008.04.11 –
Kaspersky 7.0.0.125 2008.04.11 Email-Worm.Win32.Zhelatin.xh
McAfee 5271 2008.04.10 –
Microsoft 1.3408 2008.04.11 Backdoor:Win32/Nuwar.gen!C
NOD32v2 3017 2008.04.10 –
Norman 5.80.02 2008.04.10 –
Panda 9.0.0.4 2008.04.10 –
Prevx1 V2 2008.04.11 –
Rising 20.39.32.00 2008.04.10 –
Sophos 4.28.0 2008.04.11 Troj/Dorf-BA
Sunbelt 3.0.1032.0 2008.04.08 –
Symantec 10 2008.04.11 Trojan.Peacomm
TheHacker 6.2.92.273 2008.04.11 –
VBA32 3.12.6.4 2008.04.06 –
VirusBuster 4.3.26:9 2008.04.10 Worm.Zhelatin.Gen!Pac.6
Webwasher-Gateway 6.6.2 2008.04.10 –

9 Comments

  1. Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
    Vielen, vielen Dank für die Hilfe.

    Kommentar by Andreas — 21. Oktober 2013 @ 18:22

  2. Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.

    Kommentar by virenkiller — 21. Oktober 2013 @ 21:25

  3. Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.

    Kommentar by Andreas — 23. Oktober 2013 @ 07:58

  4. Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.

    http://www.virenkiller.de/onlinevirenscanner/

    Kommentar by virenkiller — 23. Oktober 2013 @ 08:01

  5. Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.

    PS.: Ich finde virenkiller.de echt SUPER!!!

    Kommentar by Andreas — 23. Oktober 2013 @ 09:31

  6. Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
    Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
    Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
    Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
    Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
    S.o.S!

    Kommentar by Scully — 5. Januar 2014 @ 07:14

  7. Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.

    Kommentar by virenkiller — 5. Januar 2014 @ 12:13

  8. Hallo virenkiller,

    ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.

    Kommentar by Anna — 4. Juni 2014 @ 16:34

  9. Hallo Anna,

    ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.

    Kommentar by virenkiller — 4. Juni 2014 @ 18:27

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen