Wenn man einen Virus einschleusen will, dann muss dieser ein paar Regeln erfüllen
- Er muß so neu sein, dass ihn keiner erkennt
- Er muß unverdächtig sein
- Er muß unbemerkt arbeiten
Diese Regeln erfüllt ein Virus, der jetzt auf meinem Testsystem aufgeschlagen ist.
Die 225.280 Byte große Datei trägt den harmlosen Namen svchost.exe. Diesen Namen trägt auch eine wichtige Systemdatei von Windows.
Sie legt sich ab unter C:\Windows\svchost.exe
Netter Versuch… aber korrekterweise gehört diese Datei ins Systemverzeichnis von Windows! Und nicht in den Windows-Hauptordner selbst.
Und dann trägt sich das Teil doch frecherweise in die Autostartgruppe ein…
Das machte den Virus verdächtig. Ebenfalls verdächtigt war dann, dass diese Datei so neu war, was das Erstellungsdatum betrifft. Sie sollte schon so alt wie Windows sein.
Virustotal jedenfalls schlug Alarm:
Antivirus Version Update Result AhnLab-V3 2007.3.22.0 03.21.2007 no virus found AntiVir 7.3.1.44 03.21.2007 no virus found Authentium 4.93.8 03.20.2007 no virus found Avast 4.7.936.0 03.21.2007 no virus found AVG 7.5.0.447 03.21.2007 no virus found BitDefender 7.2 03.21.2007 no virus found CAT-QuickHeal 9.00 03.20.2007 no virus found ClamAV devel-20070312 03.21.2007 no virus found DrWeb 4.33 03.21.2007 no virus found eSafe 7.0.14.0 03.20.2007 no virus found eTrust-Vet 30.6.3497 03.21.2007 no virus found Ewido 4.0 03.21.2007 no virus found FileAdvisor 1 03.21.2007 no virus found Fortinet 2.85.0.0 03.21.2007 suspicious F-Prot 4.3.1.45 03.20.2007 no virus found F-Secure 6.70.13030.0 03.21.2007 W32/Malware.LZM Ikarus T3.1.1.3 03.21.2007 no virus found Kaspersky 4.0.2.24 03.21.2007 no virus found McAfee 4988 03.20.2007 no virus found Microsoft 1.2306 03.21.2007 no virus found NOD32v2 2132 03.21.2007 no virus found Norman 5.80.02 03.21.2007 W32/Malware.LZM Panda 9.0.0.4 03.21.2007 Suspicious file Prevx1 V2 03.21.2007 no virus found Sophos 4.15.0 03.13.2007 no virus found Sunbelt 2.2.907.0 03.16.2007 VIPRE.Suspicious Symantec 10 03.21.2007 no virus found TheHacker 6.1.6.078 03.20.2007 no virus found UNA 1.83 03.16.2007 no virus found VBA32 3.11.2 03.21.2007 no virus found VirusBuster 4.3.7:9 03.21.2007 no virus found Webwasher-Gateway 6.0.1 03.21.2007 Virus.Win32.FileInfector.gen (suspicious)
Aditional Information File size: 225280 bytes MD5: c182282c37890c6878a9304962d6d137 SHA1: bf7a5e4b86c05510eca42b9f66276b381d028109 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Jotti leider nicht so
AntiVir ArcaVir Avast AVG Antivirus BitDefender ClamAV Dr.Web F-Prot Antivirus F-Secure Anti-Virus Fortinet Kaspersky Anti-Virus NOD32 Norman Virus Control Panda Antivirus VirusBuster VBA32
Und auch mein derzeitiger Scanner, Avast Free Edition, ließ die Datei gänzlich unbeeindruckt. (OK, das wird schnell geändert sein, ich habe ihnen den Virus geschickt).
Im Update werde ich Euch dann verraten, um was es sich handelt…
Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
Vielen, vielen Dank für die Hilfe.
Kommentar by Andreas — 21. Oktober 2013 @ 18:22
Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.
Kommentar by virenkiller — 21. Oktober 2013 @ 21:25
Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.
Kommentar by Andreas — 23. Oktober 2013 @ 07:58
Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.
http://www.virenkiller.de/onlinevirenscanner/
Kommentar by virenkiller — 23. Oktober 2013 @ 08:01
Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.
PS.: Ich finde virenkiller.de echt SUPER!!!
Kommentar by Andreas — 23. Oktober 2013 @ 09:31
Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
S.o.S!
Kommentar by Scully — 5. Januar 2014 @ 07:14
Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.
Kommentar by virenkiller — 5. Januar 2014 @ 12:13
Hallo virenkiller,
ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.
Kommentar by Anna — 4. Juni 2014 @ 16:34
Hallo Anna,
ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.
Kommentar by virenkiller — 4. Juni 2014 @ 18:27