Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ News _ Neuer rechnung.pdf.exe Trojaner 2

Geschrieben von: raman 08.11.2005, 10:36

So heute ist wieder ein neuer Trojaner hier aufgeschlagen, wieder als Telekomrechnung getarnt und als Anhang ein Backdoor, der auch ein Rootkit installiert.

Wenn dieser aktiv ist, sieht man von ihm nichts, weder die Dateien noch die Starteintraege. Er scheint auh zu versuchen sich via P2P Netzwerke zu verbinden. Zumindest erstellt er einen Ordner, in dem er diverse Dateien mit Namen von the bat! und NAV erstellt.
Rootkitdetektoren wie Blacklight und Rootkitrevealer lassen sich nicht starten oder geben eine Fehlermeldung aus.

Die orginal Mail, die der GMX Spamfilter allerdings abgefangen hat ist:
---cut---
From: Telekom <Rechnung-Online@t-com.net>
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
To: Raman <raman@******l.de>
Subject: Rechnung Telekom

Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Oktober 2005 beträgt: 628.97 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
---cut---

Geschrieben von: raman 08.11.2005, 10:41

Die meisten AV-Programme erkennen diese Malware schon, allerdings patzen einige bei den Dingen, die installiert werden.

G:\giorot.rar/tBmp307.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rsdapi.dll Infected Trojan-Spy.Win32.Goldun.ej
G:\giorot.rar/wrmsrvice.sys Infected Rootkit.Win32.Agent.at
G:\giorot.rar/TheBat!7.51.256.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rechnung.pdf.ex Infected Backdoor.Win32.Haxdoor.es
G:\giorot.rar/cpudev.sys Haxdor-tr

Geschrieben von: zipfelklatscher 08.11.2005, 11:05

QUOTE(raman @ 08.11.2005, 10:40)
Die meisten AV-Programme erkennen diese Malware schon, allerdings patzen einige bei den Dingen, die installiert werden.

G:\giorot.rar/tBmp307.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rsdapi.dll Infected Trojan-Spy.Win32.Goldun.ej
G:\giorot.rar/wrmsrvice.sys Infected Rootkit.Win32.Agent.at
G:\giorot.rar/TheBat!7.51.256.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rechnung.pdf.ex Infected Backdoor.Win32.Haxdoor.es
G:\giorot.rar/cpudev.sys Haxdor-tr
[right][snapback]117849[/snapback][/right]



Auch schon mit NOD32 getestet ? Patzt NOD auch ?

Geschrieben von: rock 08.11.2005, 11:05

die letzte H+BEDV Erkennung lt. Newsletter seit 6.11.05 bis heute um 10uhr:

TR/Spy.Goldu.eh.4.A
TR/Spy.Goldu.eh.4.B

TR/Spy.Goldun.EI.1

TR/Dldr.Goldun.eh.1

TR/Spy.Goldun.eh.2

TR/Agent.BI
TR/Agent.JV
TR/Drop.Agent.CO
TR/Drop.Agent.XL
TR/Drop.Agent.YM

TR/Dldr.TCom.I
TR/Dldr.TCom.I.SYS
____________________
möglicherweise treffen die meisten zu.

ph34r.gif

Geschrieben von: raman 08.11.2005, 11:21

Ja, Nod32 und Antivir bekommen einiges noch nicht, aber das sollte sich innerhalb der naechste(n) Stunde aendern.

Die Datei aus dem Anhang(Rechnung.PDF.EXE) erkennen aber inzwischen alle.

Geschrieben von: zipfelklatscher 08.11.2005, 11:39

QUOTE(raman @ 08.11.2005, 11:20)
Ja, Nod32 und Antivir bekommen einiges noch nicht, aber das sollte sich innerhalb der naechste(n) Stunde aendern.

Die Datei aus dem Anhang(Rechnung.PDF.EXE) erkennen aber inzwischen alle.
[right][snapback]117863[/snapback][/right]


Trotz Heuristik nicht ? Das ist aber schwach. Rühmen die sich nicht genau damit immer an vorderster Front zu sein ?

Geschrieben von: raman 08.11.2005, 12:12

Ihr seit immer gleich auf den Barrikaden, wenn mal einer bei einer Malware was nicht erkennt!;) Das was Nod32 erkannt hat ist viel gegenueber den anderen. Wenn du willst, ist diese "Variantenerkennung" auch eine Art Heuristik und die hat ja angeschlagen!;)

Geschrieben von: zipfelklatscher 08.11.2005, 12:16

QUOTE(raman @ 08.11.2005, 12:11)
Ihr seit immer gleich auf den Barrikaden, wenn mal einer bei einer Malware was nicht erkennt!;) Das was Nod32 erkannt hat ist viel gegenueber den anderen. Wenn du willst, ist diese "Variantenerkennung" auch eine Art Heuristik und die hat ja angeschlagen!;)
[right][snapback]117868[/snapback][/right]


Um Himmels Willen nein. Hier hast Du mich völlig falsch verstanden. Ich vertraue, wenn man das so sagen kann, voll auf meinen guten alten/ neuen NOD.

Dennoch ist es unumstritten, gerade bei Trojanern scheint sich NOD nach wie vor noch sehr schwer zu tun. Frage mich nur, warum die das nicht ändern. Wissen werden sie es doch wohl, oder ?

Geschrieben von: Manu 08.11.2005, 13:41

QUOTE(zipfelklatscher @ 08.11.2005, 12:15)
Dennoch ist es unumstritten, gerade bei Trojanern scheint sich NOD nach wie vor noch sehr schwer zu tun. Frage mich nur, warum die das nicht ändern. Wissen werden sie es doch wohl, oder ?[right][snapback]117869[/snapback][/right]

Da geht es glaube ich nicht immer nur um das wollen, sondern auch um das können. Sowohl vom technischen Know-How, als auch vom zeitlichen Aspekt. So viel kostet ein Anti-Virus Programm nun mal nicht, dass da diese immensen Ressourcen an Mitarbeitern nebst Support, Werbung, Signaturen und Design bereitgestellt werden können. Das trifft natürlich nicht nur auf Eset zu.

Geschrieben von: zipfelklatscher 08.11.2005, 13:45

QUOTE(Manu @ 08.11.2005, 13:40)
Da geht es glaube ich nicht immer nur um das wollen, sondern auch um das können. Sowohl vom technischen Know-How, als auch vom zeitlichen Aspekt. So viel kostet ein Anti-Virus Programm nun mal nicht, dass da diese immensen Ressourcen an Mitarbeitern nebst Support, Werbung, Signaturen und Design bereitgestellt werden können. Das trifft natürlich nicht nur auf Eset zu.
[right][snapback]117879[/snapback][/right]


Da hast Du wohl Recht. Ich meinte meine Aussage eigentlich auch mehr vor dem Hintergrund, dass es offensichtlich doch noch andere gab, die eben nicht patzten. Was machen diese dann besser oder anders ? Denn, auch bei denen handelt es sich um Antivirenprogramme nehme ich an. wink.gif

Geschrieben von: Manu 08.11.2005, 13:53

Symantec und McAfee will ich mal ausnehmen - die haben zu viel andere Produkte mit am Start und existieren viel länger.
Und die anderen kann man wohl miteinander vergleichen. Kaspersky setzt seine Ressourcen eben auf Signaturen und super Unpacking, während Bitdefender ziemlich ausgeglichen verteilt und Eset den Ruf als Schnellster nicht verlieren will und somit auf Heuristik setzt.

Aber mal eine andere Frage: Warum ist die "Boston Cosulting Group" besser als "Roland Berger Strategy Consultants"? Oder ist es umgekehrt? Und wenn ja, warum? wink.gif

Geschrieben von: raman 08.11.2005, 14:55

Ein Mitarbeiter von Eset war so nett und hat das Ding mal auseinander genommen. Es verschickt seine aufgezeichneten Protokolle verschluesslt an verschiedene Server. Der Inhalt dieser Logdateien ist ebenfalls teilweise verschluesselt.

So wie es aussieht, fallen doch immer noch Leute auf diese Masche herein, obwohl sie nun wirklich alles andere als neu ist.... sad.gif

Geschrieben von: raman 08.11.2005, 16:19

Laut Eset werden folgende Daten "gestohlen:

das rootkit stielt folgende bankdaten:
deutsche-bank Tan homebanking-berlin TAN vr-ebanking TAN niedersachsen TAN networld-ebanking TAN dresdner-privat q citibank.de I2 meine.deutsche-bank mCk schleswig TAN diba TANBOX sachsen TAN thueringen TAN gad.de KktNrTanEnz norisbank.de tan sbroker.de tan

Geschrieben von: Lucky 08.11.2005, 16:47

Was wollen die mit TANs wenn die schon eingegeben ist und so?

Lucky confused.gif

Geschrieben von: raman 08.11.2005, 16:50

Ich denke, der blockt den Transfer der Tan zur Bank. Der Trojaneer nutzt so eine Art http Filter

Geschrieben von: Lucky 08.11.2005, 17:35

Ja, das macht dann Sinn.

Lucky

Geschrieben von: Dilia 10.11.2005, 22:17

ranting.gif [FONT=Times][SIZE=7]N'abend... ich plage mich seit ein paar Tagen mit dem blöden Ding rum. Mein Virenscanner hat im Windows system einen Trojaner PWsteal ausgemacht - kann ihn aber nicht löschen. Ist das das Ding was mit der RTechnung kam ? Diese Telecom mail habe ich bekommen und leider angeklickt...im selben Moment wußte ich das das ein Fehler war. Einmal nicht aufgepasst...Norton scheint ebenso machtlos wie Micro World. Es lassen sich keinerlei Programme mehr öffnen. Nur über den Arbeitsplatz erreiche ich noch Dateien. Rest ist platt. Hat jemand einen Tip ?

Geschrieben von: Yopie 10.11.2005, 23:38

QUOTE(Dilia @ 10.11.2005, 22:16)
N'abend... ich plage mich seit ein paar Tagen mit dem blöden Ding rum. Mein Virenscanner hat im Windows system einen Trojaner PWsteal ausgemacht

Die genaue Meldung wäre sinnvoll, um dir gezielt helfen zu können:
Also Fundort (Ordner) und Dateiname.
Wenn der Schädling schon aktiv ist, wovon ich jetzt ausgehe, beachte die Hinweise unten.

QUOTE
Diese Telecom mail habe ich bekommen und leider angeklickt...im selben Moment wußte ich das das ein Fehler war.
Vom Anklicken der Mail wird man nicht infiziert. Und wer das Attachement öffnet, tja....
QUOTE
Einmal nicht aufgepasst...Norton scheint ebenso machtlos wie Micro World. Es lassen sich keinerlei Programme mehr öffnen.

Das hätte dir mit jedem anderen AV-Prog auch passieren können. Wenn der User unvernünftig handelt, wird das beste AV-Prog früher oder später bei der Verhinderung einer Infektion versagen.
QUOTE
Nur über den Arbeitsplatz erreiche ich noch Dateien. Rest ist platt. Hat jemand einen Tip ?

Tabula Rasa. Neu aufsetzen. Und dann dem User nur eingeschränkte Rechte einräumen, damit im Fall der Fälle nur das jeweilige Benutzerkonto betroffen ist.

Beachte folgende Anleitung zum Neuaufsetzen möglichst genau! Ansonsten wirst du schon Sekunden nach der Neuinstallation neue Probleme bekommen.
http://www.trojaner-board.com/showthread.php?t=12154

Außerdem natürlich so schnell wie möglich sämtliche Passwörter ändern.

Geschrieben von: Dilia 11.11.2005, 09:19

der Ordner ist im windows\system32\?????? - leider bin ich jetzt bei Freunden und nicht an meinem PC (der kann ja nicht mehr..) darum weiß ich die Datei nicht genau.
Norton hat noch gemeldet - dann war ende. ..ich weiß selber, das man keine Anhänge öffnen soll...habe ienen Internet Shop und kriege täglich 100erte von mails. Öffne eigentlich nie was - war halt einmal unkonzentriert. Egal - Schelte wollte ich nicht. Nur Hilfe. Ärger habe ich genug..... lmfao.gif Habe aber aus Deiner
antwort entnommen, das ich das System neu drauf packen muß...? *** !
Reicht nur das Betriebssystem oder ganz platt machen - denn das ist auf einer extra Festplatte...

Geschrieben von: christian4u2 11.11.2005, 09:44

QUOTE(Dilia @ 11.11.2005, 09:18)
...
Habe aber aus Deiner antwort entnommen, das ich das System neu drauf packen muß...? *** !
Reicht nur das Betriebssystem oder ganz platt machen - denn das ist auf einer extra Festplatte...
[right][snapback]118310[/snapback][/right]


Schön das du es so getrennt hast. Es sollte reichen die Platte auf der du das System liegen hast zu formatieren.
Wichtig ist SP2 mit allen aktuellen Patches zu installieren. Wenn du gerade bei Freunden bist kannst du die Patches ja dort auf CD brennen und bei Dir installieren, nachdem du SP2 drauf hast. Dann Virenscanner drauf und diesen aktualisieren. Dann mal alles scannen um zu schauen ob eventuel Schädlinge auf der anderen Platte schlummern.
Wenn du keine seperate Firwall hast würde ich noch die Windowseigene aktivieren.

Grüße Chris

Geschrieben von: christian4u2 11.11.2005, 10:07

Ein Update Pack für WinXP findest du hier:

http://www.computerbase.de/downloads/software/betriebssysteme/update_pack_windows_xp/

Geschrieben von: Rios 02.12.2005, 06:34

Und schon gibts wieder neue Rechnungen die in Umlauf sind.
http://www.heise.de/security/news/meldung/66841

Geschrieben von: raman 02.12.2005, 12:20

Er ist hier auch gerade angekommen. Mal schauen....

Geschrieben von: bond7 02.12.2005, 21:33

hab ich heute auf arbeit auch im postkasten gesehen , eine tcom-rechnung an die 600€ und im anhang eine pdf.exe die von der SAV10 business edition aber erkannt wurde.

Geschrieben von: Rios 14.07.2006, 19:27

Falsche Ebay Rechnung installiert Troyaner.
http://www.pcwelt.de/news/sicherheit/51183/index.html#

Geschrieben von: raman 14.07.2006, 19:29

Ja, ist hier auch aufgeschlagen. Bei mir gab es 3 Dateien, die dabei beteiligt waren.

Geschrieben von: maxos 14.07.2006, 20:14

Würde das ein OnAcess Virsenscanner verhindern, falls man da draufklicken würde.

Ein als pdf maskierter Anhang, da könnte ich reinfallen.

mfg

Geschrieben von: Stefan 14.07.2006, 20:25

QUOTE(maxos @ 14.07.2006, 21:13)
Würde das ein OnAcess Virsenscanner verhindern, falls man da draufklicken würde.
[right][snapback]158057[/snapback][/right]
Wenn er ihn erkennen kann (Signatur / Heuristik) ja, sonst wird die eigene Dummheit bestraft. wink.gif


Geschrieben von: rock 14.07.2006, 21:30

QUOTE(maxos @ 14.07.2006, 21:13)
Ein als pdf maskierter Anhang, da könnte ich reinfallen.


du meinst eine "maskierte" anwendung...

heissen tut's ja:
Ebay-Rechnung.pdf.exe

sei froh das man nicht von haus aus schon viren mit ordnersymbolen bekleidet...das wär schlimmer...denn da denkst du, du machst erst einen ordner auf...dabei startest du schon den virus.

icon-beispiel: trojan wimad...ist ein windows mediaplayer symbol/icon...

aber das kannst du alels machen wie du willst.

einn exe icon ist allmählich langweilig! biggrin.gif

ph34r.gif

Geschrieben von: Rios 15.08.2006, 09:24

Es gibt wieder unseren monatlichen Besuch.
http://www.heise.de/security/news/meldung/76828

Geschrieben von: rock 15.08.2006, 10:34

also ist des net eh immer der selbe klatsch... einmal heissts TR/Dldr.EbayBill.D, vorher hies es mit buchstabe TR/Dldr.EbayBill.C © am schluss, den webwasher schon vor langer zeit so nannte...

den letzten den ich "gefangen" hab wird als goldrun oder haxtor bezeichnet und von eTrust VET signature und VBA bis heut net erkannt... (habs eben hochgeladen)... jedoch ist es bei eTrust "egal" da er auch die Inoculate engine hat die es kennt...

dennoch...mutig wer auf das ewige remake der ebay trojaner reinfällt....

rolleyes.gif

edit2: weg..unsinn...

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)