Virenkiller.de

18. Januar 2008

withlove.exe – Liebesbrieftrojaner [Update]

Category: Virenwarnung – virenkiller – 16:05

.withlove Kaum ist für die Virenverbreiter „das Weihnachchtsgeschäft“ vorbei, machen sie mit einem neuen Trojaner als Liebesbrief weiter.

withlove.exe heißt die Datei, die von denselben Verursachern verbreitet wird.

Dieses mal haben sie keine viel versprechenden Domains gekauft, sondern verteilen ihre Trojaner über einfache IPs. Wieder findet sich im Quelltext ein Verweis auf Dateinamen wie fck2008.exe und fck2009.exe

Spammails mit Texten wie

Hugging My Pillow http://111.222.333.444/
I Would Dream http://111.222.333.444/ (IPs von virenkiller.de geändert)

versuchen Sie Dumme auf Ihre Seiten zu locken.

Dort steht auch nicht besonders viel.

Ein Herz und darunter:
Your download should begin shortly. If your download does not start
in 10-20 seconds, you can

click here to launch the download
and then press Run. Enjoy!

Der Trojaner scheint relativ neu, kaum jemand erkennt ihn.

Jotti meint dazu:

BitDefender  Trojan.Peed.ITB gefunden 
NOD32  a variant of Win32/Nuwar gefunden

Etwas mehr erkennt Virustotal:

BitDefender 7.2 2008.01.16 Trojan.Peed.ITB
NOD32v2 2795 2008.01.16 a variant of Win32/Nuwar
Prevx1 V2 2008.01.16 Stormy:All Strains-All Variants
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)

Tipps von Virenkiller:

  1. Niemals solche Seiten ansurfen. Sie könnten demnächst auch mit Exploits gespickt sein.
  2. Diese Dateien nie downloaden. Bezähmen Sie ihre Neugier
  3. Melden Sie sich bei unserem Newsletter an, um früh genug von diesen Bedrohungen zu erfahren.

Update 16.1.2008

  • Nachdem ich ihn zugesandt habe, erkennt Antivir den Schädling seit etwa 11:00 Uhr.
  • Kaspersky muss weiterhin passen
  • AVG erkennt ihn
  • BitDefender erkennt ihn
  • ClamAV und FProt versagen
  • GDate versagt mal wieder online, wird ihn aber erkenne, weil es ja die Kaspersky-Engine benutzt.
  • NOD und Sophos erkennen ihn, Norman und Panda nicht.

Update 18.1.2008

Es gibt eine neue Version des Trojaners, 115.201 Byte groß.
Name ist weiterhin withlove.exe
Kaspersky (GData), McAfee, Fprot, Antivir erkennen ihn nicht.

Hier die Liste der Scanner, die ihn laut Virustotal erkennen:
AVG 7.5.0.516 2008.01.18 I-Worm/Nuwar.L
BitDefender 7.2 2008.01.18 Trojan.Peed.ITK
ClamAV 0.91.2 2008.01.18 Trojan.Small-4843
Fortinet 3.14.0.0 2008.01.18 W32/PackTibs.L
F-Secure 6.70.13260.0 2008.01.18 Suspicious:W32/Malware!Gemini
Microsoft 1.3109 2008.01.18 TrojanDropper:Win32/Nuwar.gen!A
Prevx1 V2 2008.01.18 Stormy:Worm-All Variants
Symantec 10 2008.01.18 Trojan.Peacomm.D
Webwasher-Gateway 6.6.2 2008.01.18 Win32.Malware.gen!88 (suspicious)

Legt folgende Dateien im System ab:
%System%\burito.ini
%System%\burito5e84-1216.sys 

Verändert Registry-Schlüssel
(Nach BURITO5E84 suchen)

9 Comments

  1. Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
    Vielen, vielen Dank für die Hilfe.

    Kommentar by Andreas — 21. Oktober 2013 @ 18:22

  2. Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.

    Kommentar by virenkiller — 21. Oktober 2013 @ 21:25

  3. Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.

    Kommentar by Andreas — 23. Oktober 2013 @ 07:58

  4. Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.

    http://www.virenkiller.de/onlinevirenscanner/

    Kommentar by virenkiller — 23. Oktober 2013 @ 08:01

  5. Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.

    PS.: Ich finde virenkiller.de echt SUPER!!!

    Kommentar by Andreas — 23. Oktober 2013 @ 09:31

  6. Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
    Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
    Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
    Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
    Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
    S.o.S!

    Kommentar by Scully — 5. Januar 2014 @ 07:14

  7. Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.

    Kommentar by virenkiller — 5. Januar 2014 @ 12:13

  8. Hallo virenkiller,

    ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.

    Kommentar by Anna — 4. Juni 2014 @ 16:34

  9. Hallo Anna,

    ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.

    Kommentar by virenkiller — 4. Juni 2014 @ 18:27

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen