Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V   1 2 >  
Closed TopicStart new topic
> Neuer rechnung.pdf.exe Trojaner 2, diesmal mit Rootkit im Anhang
raman
Beitrag 08.11.2005, 10:36
Beitrag #1



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



So heute ist wieder ein neuer Trojaner hier aufgeschlagen, wieder als Telekomrechnung getarnt und als Anhang ein Backdoor, der auch ein Rootkit installiert.

Wenn dieser aktiv ist, sieht man von ihm nichts, weder die Dateien noch die Starteintraege. Er scheint auh zu versuchen sich via P2P Netzwerke zu verbinden. Zumindest erstellt er einen Ordner, in dem er diverse Dateien mit Namen von the bat! und NAV erstellt.
Rootkitdetektoren wie Blacklight und Rootkitrevealer lassen sich nicht starten oder geben eine Fehlermeldung aus.

Die orginal Mail, die der GMX Spamfilter allerdings abgefangen hat ist:
---cut---
From: Telekom <Rechnung-Online@t-com.net>
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
To: Raman <raman@******l.de>
Subject: Rechnung Telekom

Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Oktober 2005 beträgt: 628.97 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
---cut---


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.11.2005, 10:41
Beitrag #2


Threadersteller

AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Die meisten AV-Programme erkennen diese Malware schon, allerdings patzen einige bei den Dingen, die installiert werden.

G:\giorot.rar/tBmp307.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rsdapi.dll Infected Trojan-Spy.Win32.Goldun.ej
G:\giorot.rar/wrmsrvice.sys Infected Rootkit.Win32.Agent.at
G:\giorot.rar/TheBat!7.51.256.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rechnung.pdf.ex Infected Backdoor.Win32.Haxdoor.es
G:\giorot.rar/cpudev.sys Haxdor-tr


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_zipfelklatscher_*
Beitrag 08.11.2005, 11:05
Beitrag #3






Gäste






QUOTE(raman @ 08.11.2005, 10:40)
Die meisten AV-Programme erkennen diese Malware schon, allerdings patzen einige bei den Dingen, die installiert werden.

G:\giorot.rar/tBmp307.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rsdapi.dll Infected Trojan-Spy.Win32.Goldun.ej
G:\giorot.rar/wrmsrvice.sys Infected Rootkit.Win32.Agent.at
G:\giorot.rar/TheBat!7.51.256.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rechnung.pdf.ex Infected Backdoor.Win32.Haxdoor.es
G:\giorot.rar/cpudev.sys Haxdor-tr
[right][snapback]117849[/snapback][/right]



Auch schon mit NOD32 getestet ? Patzt NOD auch ?
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 08.11.2005, 11:05
Beitrag #4






Gäste






die letzte H+BEDV Erkennung lt. Newsletter seit 6.11.05 bis heute um 10uhr:

TR/Spy.Goldu.eh.4.A
TR/Spy.Goldu.eh.4.B

TR/Spy.Goldun.EI.1

TR/Dldr.Goldun.eh.1

TR/Spy.Goldun.eh.2

TR/Agent.BI
TR/Agent.JV
TR/Drop.Agent.CO
TR/Drop.Agent.XL
TR/Drop.Agent.YM

TR/Dldr.TCom.I
TR/Dldr.TCom.I.SYS
____________________
möglicherweise treffen die meisten zu.

ph34r.gif
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.11.2005, 11:21
Beitrag #5


Threadersteller

AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ja, Nod32 und Antivir bekommen einiges noch nicht, aber das sollte sich innerhalb der naechste(n) Stunde aendern.

Die Datei aus dem Anhang(Rechnung.PDF.EXE) erkennen aber inzwischen alle.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_zipfelklatscher_*
Beitrag 08.11.2005, 11:39
Beitrag #6






Gäste






QUOTE(raman @ 08.11.2005, 11:20)
Ja, Nod32 und Antivir bekommen einiges noch nicht, aber das sollte sich innerhalb der naechste(n) Stunde aendern.

Die Datei aus dem Anhang(Rechnung.PDF.EXE) erkennen aber inzwischen alle.
[right][snapback]117863[/snapback][/right]


Trotz Heuristik nicht ? Das ist aber schwach. Rühmen die sich nicht genau damit immer an vorderster Front zu sein ?
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.11.2005, 12:12
Beitrag #7


Threadersteller

AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ihr seit immer gleich auf den Barrikaden, wenn mal einer bei einer Malware was nicht erkennt!;) Das was Nod32 erkannt hat ist viel gegenueber den anderen. Wenn du willst, ist diese "Variantenerkennung" auch eine Art Heuristik und die hat ja angeschlagen!;)


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_zipfelklatscher_*
Beitrag 08.11.2005, 12:16
Beitrag #8






Gäste






QUOTE(raman @ 08.11.2005, 12:11)
Ihr seit immer gleich auf den Barrikaden, wenn mal einer bei einer Malware was nicht erkennt!;) Das was Nod32 erkannt hat ist viel gegenueber den anderen. Wenn du willst, ist diese "Variantenerkennung" auch eine Art Heuristik und die hat ja angeschlagen!;)
[right][snapback]117868[/snapback][/right]


Um Himmels Willen nein. Hier hast Du mich völlig falsch verstanden. Ich vertraue, wenn man das so sagen kann, voll auf meinen guten alten/ neuen NOD.

Dennoch ist es unumstritten, gerade bei Trojanern scheint sich NOD nach wie vor noch sehr schwer zu tun. Frage mich nur, warum die das nicht ändern. Wissen werden sie es doch wohl, oder ?
Go to the top of the page
 
+Quote Post
Manu
Beitrag 08.11.2005, 13:41
Beitrag #9



Womanizer
Gruppensymbol

Gruppe: Freunde
Beiträge: 3.798
Mitglied seit: 05.05.2004
Mitglieds-Nr.: 765



QUOTE(zipfelklatscher @ 08.11.2005, 12:15)
Dennoch ist es unumstritten, gerade bei Trojanern scheint sich NOD nach wie vor noch sehr schwer zu tun. Frage mich nur, warum die das nicht ändern. Wissen werden sie es doch wohl, oder ?[right][snapback]117869[/snapback][/right]

Da geht es glaube ich nicht immer nur um das wollen, sondern auch um das können. Sowohl vom technischen Know-How, als auch vom zeitlichen Aspekt. So viel kostet ein Anti-Virus Programm nun mal nicht, dass da diese immensen Ressourcen an Mitarbeitern nebst Support, Werbung, Signaturen und Design bereitgestellt werden können. Das trifft natürlich nicht nur auf Eset zu.


--------------------
Go to the top of the page
 
+Quote Post
Gast_zipfelklatscher_*
Beitrag 08.11.2005, 13:45
Beitrag #10






Gäste






QUOTE(Manu @ 08.11.2005, 13:40)
Da geht es glaube ich nicht immer nur um das wollen, sondern auch um das können. Sowohl vom technischen Know-How, als auch vom zeitlichen Aspekt. So viel kostet ein Anti-Virus Programm nun mal nicht, dass da diese immensen Ressourcen an Mitarbeitern nebst Support, Werbung, Signaturen und Design bereitgestellt werden können. Das trifft natürlich nicht nur auf Eset zu.
[right][snapback]117879[/snapback][/right]


Da hast Du wohl Recht. Ich meinte meine Aussage eigentlich auch mehr vor dem Hintergrund, dass es offensichtlich doch noch andere gab, die eben nicht patzten. Was machen diese dann besser oder anders ? Denn, auch bei denen handelt es sich um Antivirenprogramme nehme ich an. wink.gif

Der Beitrag wurde von zipfelklatscher bearbeitet: 08.11.2005, 13:45
Go to the top of the page
 
+Quote Post
Manu
Beitrag 08.11.2005, 13:53
Beitrag #11



Womanizer
Gruppensymbol

Gruppe: Freunde
Beiträge: 3.798
Mitglied seit: 05.05.2004
Mitglieds-Nr.: 765



Symantec und McAfee will ich mal ausnehmen - die haben zu viel andere Produkte mit am Start und existieren viel länger.
Und die anderen kann man wohl miteinander vergleichen. Kaspersky setzt seine Ressourcen eben auf Signaturen und super Unpacking, während Bitdefender ziemlich ausgeglichen verteilt und Eset den Ruf als Schnellster nicht verlieren will und somit auf Heuristik setzt.

Aber mal eine andere Frage: Warum ist die "Boston Cosulting Group" besser als "Roland Berger Strategy Consultants"? Oder ist es umgekehrt? Und wenn ja, warum? wink.gif


--------------------
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.11.2005, 14:55
Beitrag #12


Threadersteller

AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ein Mitarbeiter von Eset war so nett und hat das Ding mal auseinander genommen. Es verschickt seine aufgezeichneten Protokolle verschluesslt an verschiedene Server. Der Inhalt dieser Logdateien ist ebenfalls teilweise verschluesselt.

So wie es aussieht, fallen doch immer noch Leute auf diese Masche herein, obwohl sie nun wirklich alles andere als neu ist.... sad.gif


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.11.2005, 16:19
Beitrag #13


Threadersteller

AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Laut Eset werden folgende Daten "gestohlen:

das rootkit stielt folgende bankdaten:
deutsche-bank Tan homebanking-berlin TAN vr-ebanking TAN niedersachsen TAN networld-ebanking TAN dresdner-privat q citibank.de I2 meine.deutsche-bank mCk schleswig TAN diba TANBOX sachsen TAN thueringen TAN gad.de KktNrTanEnz norisbank.de tan sbroker.de tan


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Lucky
Beitrag 08.11.2005, 16:47
Beitrag #14



Gehört zum Inventar
Gruppensymbol

Gruppe: Freunde
Beiträge: 3.252
Mitglied seit: 21.04.2003
Mitglieds-Nr.: 51



Was wollen die mit TANs wenn die schon eingegeben ist und so?

Lucky confused.gif
Go to the top of the page
 
+Quote Post
raman
Beitrag 08.11.2005, 16:50
Beitrag #15


Threadersteller

AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ich denke, der blockt den Transfer der Tan zur Bank. Der Trojaneer nutzt so eine Art http Filter


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Lucky
Beitrag 08.11.2005, 17:35
Beitrag #16



Gehört zum Inventar
Gruppensymbol

Gruppe: Freunde
Beiträge: 3.252
Mitglied seit: 21.04.2003
Mitglieds-Nr.: 51



Ja, das macht dann Sinn.

Lucky
Go to the top of the page
 
+Quote Post
Gast_Dilia_*
Beitrag 10.11.2005, 22:17
Beitrag #17






Gäste






ranting.gif [FONT=Times][SIZE=7]N'abend... ich plage mich seit ein paar Tagen mit dem blöden Ding rum. Mein Virenscanner hat im Windows system einen Trojaner PWsteal ausgemacht - kann ihn aber nicht löschen. Ist das das Ding was mit der RTechnung kam ? Diese Telecom mail habe ich bekommen und leider angeklickt...im selben Moment wußte ich das das ein Fehler war. Einmal nicht aufgepasst...Norton scheint ebenso machtlos wie Micro World. Es lassen sich keinerlei Programme mehr öffnen. Nur über den Arbeitsplatz erreiche ich noch Dateien. Rest ist platt. Hat jemand einen Tip ?
Go to the top of the page
 
+Quote Post
Yopie
Beitrag 10.11.2005, 23:38
Beitrag #18



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



QUOTE(Dilia @ 10.11.2005, 22:16)
N'abend... ich plage mich seit ein paar Tagen mit dem blöden Ding rum. Mein Virenscanner hat im Windows system einen Trojaner PWsteal ausgemacht

Die genaue Meldung wäre sinnvoll, um dir gezielt helfen zu können:
Also Fundort (Ordner) und Dateiname.
Wenn der Schädling schon aktiv ist, wovon ich jetzt ausgehe, beachte die Hinweise unten.

QUOTE
Diese Telecom mail habe ich bekommen und leider angeklickt...im selben Moment wußte ich das das ein Fehler war.
Vom Anklicken der Mail wird man nicht infiziert. Und wer das Attachement öffnet, tja....
QUOTE
Einmal nicht aufgepasst...Norton scheint ebenso machtlos wie Micro World. Es lassen sich keinerlei Programme mehr öffnen.

Das hätte dir mit jedem anderen AV-Prog auch passieren können. Wenn der User unvernünftig handelt, wird das beste AV-Prog früher oder später bei der Verhinderung einer Infektion versagen.
QUOTE
Nur über den Arbeitsplatz erreiche ich noch Dateien. Rest ist platt. Hat jemand einen Tip ?

Tabula Rasa. Neu aufsetzen. Und dann dem User nur eingeschränkte Rechte einräumen, damit im Fall der Fälle nur das jeweilige Benutzerkonto betroffen ist.

Beachte folgende Anleitung zum Neuaufsetzen möglichst genau! Ansonsten wirst du schon Sekunden nach der Neuinstallation neue Probleme bekommen.
http://www.trojaner-board.com/showthread.php?t=12154

Außerdem natürlich so schnell wie möglich sämtliche Passwörter ändern.


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
Gast_Dilia_*
Beitrag 11.11.2005, 09:19
Beitrag #19






Gäste






der Ordner ist im windows\system32\?????? - leider bin ich jetzt bei Freunden und nicht an meinem PC (der kann ja nicht mehr..) darum weiß ich die Datei nicht genau.
Norton hat noch gemeldet - dann war ende. ..ich weiß selber, das man keine Anhänge öffnen soll...habe ienen Internet Shop und kriege täglich 100erte von mails. Öffne eigentlich nie was - war halt einmal unkonzentriert. Egal - Schelte wollte ich nicht. Nur Hilfe. Ärger habe ich genug..... lmfao.gif Habe aber aus Deiner
antwort entnommen, das ich das System neu drauf packen muß...? *** !
Reicht nur das Betriebssystem oder ganz platt machen - denn das ist auf einer extra Festplatte...
Go to the top of the page
 
+Quote Post
christian4u2
Beitrag 11.11.2005, 09:44
Beitrag #20



Triumphator
Gruppensymbol

Gruppe: Freunde
Beiträge: 2.099
Mitglied seit: 12.05.2004
Wohnort: Oberscheidweiler
Mitglieds-Nr.: 812

Betriebssystem:
Windows7
Virenscanner:
KIS11
Firewall:
KIS11



QUOTE(Dilia @ 11.11.2005, 09:18)
...
Habe aber aus Deiner antwort entnommen, das ich das System neu drauf packen muß...? *** !
Reicht nur das Betriebssystem oder ganz platt machen - denn das ist auf einer extra Festplatte...
[right][snapback]118310[/snapback][/right]


Schön das du es so getrennt hast. Es sollte reichen die Platte auf der du das System liegen hast zu formatieren.
Wichtig ist SP2 mit allen aktuellen Patches zu installieren. Wenn du gerade bei Freunden bist kannst du die Patches ja dort auf CD brennen und bei Dir installieren, nachdem du SP2 drauf hast. Dann Virenscanner drauf und diesen aktualisieren. Dann mal alles scannen um zu schauen ob eventuel Schädlinge auf der anderen Platte schlummern.
Wenn du keine seperate Firwall hast würde ich noch die Windowseigene aktivieren.

Grüße Chris
Go to the top of the page
 
+Quote Post

2 Seiten V   1 2 >
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 09:32
Impressum