Derzeit versuchen wieder einige Virenverbreiter, den Anlass des Jahreswechsels dazu zu verwenden, ihre Trojaner in der Welt zu verbreiten.
Dieses Mal haben sie sich einige „passende Domains“ gesichert, um angebliche elektronische Neujahrspostkarten zu versenden, hinter denen sich aber in Wirklichkeit ein Trojaner verbirgt.
Unter Domainnamen wie
uhavepostcard.com
happycards2008.com
newyearcards2008.com
newyearwithlove.com
familypostcards2008.com
freshcards2008.com
Update
Neu hinzugekommen:
http://hohoho2008.com/ mit happy_2008.exe
http://hellosanta2008.com
http://parentscards.com
http://santapcards.com/Und täglich kommen neue Domains für den Sturm-Trojaner hinzu:
http://merrychristmasdude.com/ (3.1.2007)
http://santawishes2008.com/ (4.1.2007)
http://HAPPY2008TOYOU.COM (4.1.2008)
http://postcards-2008.com (4.1.2008)
verbreiten Sie die Dateien mit Namen wie:
happy-2008.exe
happynewyear2008.exe
jeweils 143.873 Byte großAuskommentiert auf den Webseiten sind auch Namen wie
fck2008.exe und fck2009.exe
Viele Scanner erkennen die Gefahr bereits und identifizieren den Virus als
TR/Crypt.XDR.Gen
W32/Dropper.gen6
Win32:Zhelatin-ASX
W32/Tibs.G@mm
Die Domains selbst haben gar keinen Inhalt außer einem englischsprahigen Hinweis
Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can click here to launch the download and then press Run. Enjoy!
Auch die Emails sind sehr primitiv. Das Betreff lautet beispielsweise „Message for new year“ und der Inhalt:
As you embrace another new year
xxxx://newyearcards2008.com/
Update 30.12.2007:
Es wird eine neue version der Mail verschickt, die etwas mehr „personalisiert“ wurde, indem man dem Spruch als Anrede die Emailadresse des Empfängers hinzufügt.Happy New Year To name@emailadresse.tld!
http://freshcards2008.com/
Jotti meint dazu:
A-Squared: Keine Viren gefunden
AntiVir: TR/Crypt.XDR.Gen gefunden:
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Dropper.Generic.TNQ gefunden:
BitDefender: Trojan.Peed.IRM gefunden:
ClamAV: Keine Viren gefunden
CPsecure: Keine Viren gefunden
Dr.Web: Trojan.Spambot.2556 gefunden:
F-Prot Antivirus: Keine Viren gefunden
F-Secure Anti-Virus: Email-Worm:W32/Zhelatin.PS gefunden:
Fortinet: Keine Viren gefunden
Ikarus: Keine Viren gefunden
Kaspersky Anti-Virus: Email-Worm.Win32.Zhelatin.pv gefunden:
NOD32: Win32/Nuwar.BE gefunden:
Norman Virus Control: Keine Viren gefunden
Panda Antivirus: Keine Viren gefunden
Rising Antivirus: Keine Viren gefunden
Sophos Antivirus: Mal/Dorf-H gefunden:
VirusBuster: Trojan.DL.Tibs.JO gefunden:
VBA32: Keine Viren gefunden
Und der Onlinescan?
Bei Virustotal und Jotti erkennen den Virus die meisten Scanner. Auch von den Scannern auf unserer Seite http://www.virenkiller.de/onlinevirenscanner erkennen Ihn – bis auf Norman(!) – alle zuverlässig.
Update
Auf der Seite http://www.threatexpert.com/report.aspx?uid=1c717d77-f5ea-4627-86fe-dc164d924dab gibt es eine ziemlich gute Analyse des Verhaltens dieses Trojaners. Insbesondere auch der Dateien, die noch angelegt werden, wie oriieke7cb3f68.sys und oriieke.ini.
Drauf gekommen bin ich durch das totale Versagen des Norman-Scanners, der zwar immerhin feststellt, dass diese Dateien angelegt werden, daraus aber auch am 4.1. noch keinerlei Schlüsse auf Malware zieht :-)
Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
Vielen, vielen Dank für die Hilfe.
Kommentar by Andreas — 21. Oktober 2013 @ 18:22
Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.
Kommentar by virenkiller — 21. Oktober 2013 @ 21:25
Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.
Kommentar by Andreas — 23. Oktober 2013 @ 07:58
Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.
http://www.virenkiller.de/onlinevirenscanner/
Kommentar by virenkiller — 23. Oktober 2013 @ 08:01
Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.
PS.: Ich finde virenkiller.de echt SUPER!!!
Kommentar by Andreas — 23. Oktober 2013 @ 09:31
Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
S.o.S!
Kommentar by Scully — 5. Januar 2014 @ 07:14
Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.
Kommentar by virenkiller — 5. Januar 2014 @ 12:13
Hallo virenkiller,
ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.
Kommentar by Anna — 4. Juni 2014 @ 16:34
Hallo Anna,
ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.
Kommentar by virenkiller — 4. Juni 2014 @ 18:27