Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

@Krond

Irgendwann sollte dich das Programm auffordern ein Liveupdate von Hand zu fahren weil diese Updates ein Reboot erfordern. Die Aufforderung poppt rechts unten auf und kommt beim Neustart des Systems wieder wenn du das ignoriert hattest. Jetzt sag nicht du hast nie was gesehen ?!

[citro]

Etwas eher kam das Security Update 31

hier und dort -- spielt vielleicht entfernt auch eine Rolle.

citro

Der Beitrag wurde von citro bearbeitet: 06.01.2007, 19:04

[Gast_Krond_*]

Doch, ich hab das poppelnde (hehehe) Eckerl schon gesehen. Ich wußte nur nicht, was genau da reinkam, weil ich da eigentlich nicht nachlese...

[Voyager]

1&1 Internet AG - Ihre Rechnung 5430946 Dezember

Datei: Rechnung.pdf.exe

Entdeckte Packprogramme: FSG

AntiVir HEUR/Crypted gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Downloader-462 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Agent.akf gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Suspicious_F.gen gefunden
VirusBuster novirus:Packed/FSG gefunden
VBA32 Keine Viren gefunden

Ja da hatte es wohl die meisten AVs wieder ausgetrickst indem das Ding einfach umgepackt wurde. Ich vermute die Virenbastler testen ihre Arbeiten vorher bei Jotti

[Yopie]

1&1 Internet AG - Ihre Rechnung 5430946 Dezember

Dito, wollte es gerade einstellen.

[Gast_Scrapie_*]

Ja da hatte es wohl die meisten AVs wieder ausgetrickst indem das Ding einfach umgepackt wurde. Ich vermute die Virenbastler testen ihre Arbeiten vorher bei Jotti

Wer schickt sein, für kommerzielle Dinge ausgelegtes, 'Kunstwerk' freiwillig zu einem 'AV-Honeypot'?
VM's und etwas Handarbeit und es kann überprüft werden ohne das es in den Sig's landet...


Kleine Analyse von meiner Rechnung:


- File spuckt Error-Msg aus
- Schlecht programmierter selfdelet => cmd-Fenster bleibt stehen
- Dropped 'spoolj.exe' in system32 (MD5 = 49983539afa312a91b7381a4934e1d2b)
- fügt folgende Starteinträge hinzu:

QUELLTEXT

HKLM\SOFTWARE\Microsoft\Ole\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SYSTEM\ControlSet001\Control\Lsa\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\WinUpdate: "C:\WINNT\system32\spoolj.exe"

Jotti für die gedroppte Datei:

QUELLTEXT

Datei:  spoolj.exe  
Auslastung:  0%        100%  

Status:  INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)  
Entdeckte Packprogramme:  FSG
  
AntiVir  HEUR/Crypted gefunden  
ArcaVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Keine Viren gefunden
ClamAV  Trojan.Downloader-462 gefunden  
Dr.Web  Keine Viren gefunden
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Keine Viren gefunden
Fortinet  Keine Viren gefunden
Kaspersky Anti-Virus  Backdoor.Win32.Agent.akf gefunden  
NOD32  Keine Viren gefunden
Norman Virus Control  Suspicious_F.gen gefunden  
VirusBuster  novirus:Packed/FSG gefunden  
VBA32  Keine Viren gefunden

- versuch 66.235.***.21 zu erreichen und fordert 'GET /~academic/img/horr.php?new=1' an. Die Seite ist aber offline
- Nun versucht es 'www.marketing-****-how.com' aufzurufen und die Datei 'GET /bookreview/inc/c.exe' zu laden. Die ist aber ebenfalls nicht vorhanden.

=> Keine weitere Maleware kann geladen werden => Game over

Gruß,
Scrapie

PS:
IP und Host zur Sicherheit zensiert ....

[Voyager]

Also auf gut Deutsch, da Ding hatten nur Scriptkiddys mittels Malwarebaukästen erstellt, die aber so keine tiefergehenden Kenntnisse besitzen.

p.s. aber auch wenns da möglicherweise Rohrkrepierer gibt sollte man das Zeug trotzdem nicht anklicken, viele Trojaner manipulieren Systemeinstellungen und diese Schäden rückgängig zu kriegen ist mehr als mühseelig.

Der Beitrag wurde von bond7 bearbeitet: 07.01.2007, 11:32

[Yopie]

1&1 warnt Kunden vor gefälschten Rechnungen

[Gast_Scrapie_*]

Interessant wäre, wie viele versch. Versionen es davon gibt.

Meine Rechnung.pdf.exe hatte z.B. MD5 = 19a960f2ae534915040bcb60afaa295f und kam von nem Mailserver in Georgien...


Gruß,
Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 07.01.2007, 12:52

[Yopie]

Hier die gleiche Version.

yopie@athlon ~/Desktop $ md5sum Rechnung.pdf.exe
19a960f2ae534915040bcb60afaa295f Rechnung.pdf.exe

[raman]

Das Ding wurde u.a ueber Botnetze verteilt. Das ist der Grund, warum die Mails teilweise als Spam gemeldet werden, aber teilweise auch nicht.

Alle Download Adressen scheinen Down zu sein. Bis vorhin funktionierte noch eine Adresse mit einem Base64 codierte Datei die auf einen defekten Downloadlink verwies.

[Voyager]

Gdata Onlinescanner scheint ungepflegt zu sein . Bei der pdf.exe zeigt es an:
keine infizierten Dateien gefunden!
Verwendete Scan-Engines:
Engine A (AVK 17.1848, 06.01.2007)
Engine B (AVKB 17.92, 03.01.2007)

[Gast_Dylan_*]

@ bond7

Erkennt NAV eigentlich den Schädling schon ?

[Voyager]

Nein und noch keine Signatur für das Objekt vorhanden , eingesendet ist es aber .

[Gast_Dylan_*]

Prüf doch bitte mal heute nach dem Update nochmal,ob dann eine Erkennung da ist.

[raman]

Nein, ist nicht, nicht mal als beta, aber da ist NAV in "guter" Gesellschaft. Es ist ja auch Wochenende.

AntiVir HEUR/Crypted
Avast! -
AVG -
BitDefender -
ClamAV -
Command -
Dr Web Trojan.DownLoader.17212
eSafe -
eTrust-INO -
eTrust-VET -
Ewido -
F-Prot -
F-Secure Backdoor.Win32.Agent.akf
F-Secure (BETA) Backdoor.Win32.Agent.akf
Fortinet suspicious
Fortinet (BETA) W32/Small.ZC!tr.dldr
Ikarus suspicious
Kaspersky Backdoor.Win32.Agent.akf
McAfee -
McAfee (BETA) -
Microsoft -
Nod32 -
Norman Suspicious_F.gen
Panda Suspicious file
Panda (BETA) Trj/Abwiz.BP
QuickHeal Suspicious (warning)
Rising -
Sophos Mal/Packer
Symantec -
Symantec (BETA) -
Trend Micro (BETA) TROJ_YABE.AR
UNA -
VBA32 -
VirusBuster novirus:Packed/FSG

[Voyager]

Clam AV sollte ein "ClamAV Trojan.Downloader-462 gefunden" anzeigen. Normalerweise erkennt der aber nie was.

[elenan]

Die Variante mit MD5=19a960f2ae534915040bcb60afaa295f installiert sich nicht als spoolj.exe, sondern als appmgrt.exe. Diese installierte Datei ist die gleiche, die vorher als E-Mail-Anhang (Rechnung.pdf.exe) ankam, nur umbenannt und mit anderen Attributen (system, hidden, read-only) und anderen Datei-Zeiten. Sie enthält immer noch das Acrobat-Icon. Größe 8,96 KB bzw 9181 Bytes.

Die Datei wird als Service gestartet. Die Registry-Einträge entsprechen den oben aufgeführten. Solange der Service läuft, stellt er die Registry-Einträge immer wieder her, wenn sie gelöscht werden. Die PID dieses Tasks kann man herausfinden mit:

tasklist /svc /fi "imagename eq svchost.exe"

In der Zeile, in der in der rechten Spalte der Name des Service nicht verfügbar ist, steht in der mittleren Spalte die PID des Tasks, der gekillt werden muss.

Oder mit Process Explorer nachschauen, welcher svchost Prozess im Kommandozeilen-Argument appmgrt.exe enthält.

[raman]

Der Dateiname aendert sich bei jeder Installation, sie ist immer nur nahe an Systemdateinamen angelegt. Du kannst die Datei auch mehrmals starten und du wirst immer einen anderen Dateinamen bekommen.

[Voyager]

Bei mir in der Virtual Machine wurden eine adsntr.exe und adsntr.pif erstellt und zusätzlich noch ein BHO ipv6monl.dll reininstalliert . Die [Winupdate] Dateibezeichnungen scheinen bei jedem anders zu sein , der Name wird vermutlich rein zufällig erstellt. Im abgesicherten Modus bekommt man Zugriff auf den Prozess.