Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Scrapie]

Ja da hatte es wohl die meisten AVs wieder ausgetrickst indem das Ding einfach umgepackt wurde. Ich vermute die Virenbastler testen ihre Arbeiten vorher bei Jotti

Wer schickt sein, für kommerzielle Dinge ausgelegtes, 'Kunstwerk' freiwillig zu einem 'AV-Honeypot'?
VM's und etwas Handarbeit und es kann überprüft werden ohne das es in den Sig's landet...


Kleine Analyse von meiner Rechnung:


- File spuckt Error-Msg aus
- Schlecht programmierter selfdelet => cmd-Fenster bleibt stehen
- Dropped 'spoolj.exe' in system32 (MD5 = 49983539afa312a91b7381a4934e1d2b)
- fügt folgende Starteinträge hinzu:

QUELLTEXT

HKLM\SOFTWARE\Microsoft\Ole\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SYSTEM\ControlSet001\Control\Lsa\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\WinUpdate: "C:\WINNT\system32\spoolj.exe"

Jotti für die gedroppte Datei:

QUELLTEXT

Datei:  spoolj.exe  
Auslastung:  0%        100%  

Status:  INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)  
Entdeckte Packprogramme:  FSG
  
AntiVir  HEUR/Crypted gefunden  
ArcaVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Keine Viren gefunden
ClamAV  Trojan.Downloader-462 gefunden  
Dr.Web  Keine Viren gefunden
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Keine Viren gefunden
Fortinet  Keine Viren gefunden
Kaspersky Anti-Virus  Backdoor.Win32.Agent.akf gefunden  
NOD32  Keine Viren gefunden
Norman Virus Control  Suspicious_F.gen gefunden  
VirusBuster  novirus:Packed/FSG gefunden  
VBA32  Keine Viren gefunden

- versuch 66.235.***.21 zu erreichen und fordert 'GET /~academic/img/horr.php?new=1' an. Die Seite ist aber offline
- Nun versucht es 'www.marketing-****-how.com' aufzurufen und die Datei 'GET /bookreview/inc/c.exe' zu laden. Die ist aber ebenfalls nicht vorhanden.

=> Keine weitere Maleware kann geladen werden => Game over

Gruß,
Scrapie

PS:
IP und Host zur Sicherheit zensiert ....

[Voyager]

Also auf gut Deutsch, da Ding hatten nur Scriptkiddys mittels Malwarebaukästen erstellt, die aber so keine tiefergehenden Kenntnisse besitzen.

p.s. aber auch wenns da möglicherweise Rohrkrepierer gibt sollte man das Zeug trotzdem nicht anklicken, viele Trojaner manipulieren Systemeinstellungen und diese Schäden rückgängig zu kriegen ist mehr als mühseelig.

Der Beitrag wurde von bond7 bearbeitet: 07.01.2007, 12:31

[Yopie]

1&1 warnt Kunden vor gefälschten Rechnungen

[Scrapie]

Interessant wäre, wie viele versch. Versionen es davon gibt.

Meine Rechnung.pdf.exe hatte z.B. MD5 = 19a960f2ae534915040bcb60afaa295f und kam von nem Mailserver in Georgien...


Gruß,
Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 07.01.2007, 13:51

[Yopie]

Hier die gleiche Version.

yopie@athlon ~/Desktop $ md5sum Rechnung.pdf.exe
19a960f2ae534915040bcb60afaa295f Rechnung.pdf.exe

[raman]

Das Ding wurde u.a ueber Botnetze verteilt. Das ist der Grund, warum die Mails teilweise als Spam gemeldet werden, aber teilweise auch nicht.

Alle Download Adressen scheinen Down zu sein. Bis vorhin funktionierte noch eine Adresse mit einem Base64 codierte Datei die auf einen defekten Downloadlink verwies.

[Voyager]

Gdata Onlinescanner scheint ungepflegt zu sein . Bei der pdf.exe zeigt es an:
keine infizierten Dateien gefunden!
Verwendete Scan-Engines:
Engine A (AVK 17.1848, 06.01.2007)
Engine B (AVKB 17.92, 03.01.2007)

[Gast_Dylan_*]

@ bond7

Erkennt NAV eigentlich den Schädling schon ?

[Voyager]

Nein und noch keine Signatur für das Objekt vorhanden , eingesendet ist es aber .

[Gast_Dylan_*]

Prüf doch bitte mal heute nach dem Update nochmal,ob dann eine Erkennung da ist.

[raman]

Nein, ist nicht, nicht mal als beta, aber da ist NAV in "guter" Gesellschaft. Es ist ja auch Wochenende.

AntiVir HEUR/Crypted
Avast! -
AVG -
BitDefender -
ClamAV -
Command -
Dr Web Trojan.DownLoader.17212
eSafe -
eTrust-INO -
eTrust-VET -
Ewido -
F-Prot -
F-Secure Backdoor.Win32.Agent.akf
F-Secure (BETA) Backdoor.Win32.Agent.akf
Fortinet suspicious
Fortinet (BETA) W32/Small.ZC!tr.dldr
Ikarus suspicious
Kaspersky Backdoor.Win32.Agent.akf
McAfee -
McAfee (BETA) -
Microsoft -
Nod32 -
Norman Suspicious_F.gen
Panda Suspicious file
Panda (BETA) Trj/Abwiz.BP
QuickHeal Suspicious (warning)
Rising -
Sophos Mal/Packer
Symantec -
Symantec (BETA) -
Trend Micro (BETA) TROJ_YABE.AR
UNA -
VBA32 -
VirusBuster novirus:Packed/FSG

[Voyager]

Clam AV sollte ein "ClamAV Trojan.Downloader-462 gefunden" anzeigen. Normalerweise erkennt der aber nie was.

[elenan]

Die Variante mit MD5=19a960f2ae534915040bcb60afaa295f installiert sich nicht als spoolj.exe, sondern als appmgrt.exe. Diese installierte Datei ist die gleiche, die vorher als E-Mail-Anhang (Rechnung.pdf.exe) ankam, nur umbenannt und mit anderen Attributen (system, hidden, read-only) und anderen Datei-Zeiten. Sie enthält immer noch das Acrobat-Icon. Größe 8,96 KB bzw 9181 Bytes.

Die Datei wird als Service gestartet. Die Registry-Einträge entsprechen den oben aufgeführten. Solange der Service läuft, stellt er die Registry-Einträge immer wieder her, wenn sie gelöscht werden. Die PID dieses Tasks kann man herausfinden mit:

tasklist /svc /fi "imagename eq svchost.exe"

In der Zeile, in der in der rechten Spalte der Name des Service nicht verfügbar ist, steht in der mittleren Spalte die PID des Tasks, der gekillt werden muss.

Oder mit Process Explorer nachschauen, welcher svchost Prozess im Kommandozeilen-Argument appmgrt.exe enthält.

[raman]

Der Dateiname aendert sich bei jeder Installation, sie ist immer nur nahe an Systemdateinamen angelegt. Du kannst die Datei auch mehrmals starten und du wirst immer einen anderen Dateinamen bekommen.

[Voyager]

Bei mir in der Virtual Machine wurden eine adsntr.exe und adsntr.pif erstellt und zusätzlich noch ein BHO ipv6monl.dll reininstalliert . Die [Winupdate] Dateibezeichnungen scheinen bei jedem anders zu sein , der Name wird vermutlich rein zufällig erstellt. Im abgesicherten Modus bekommt man Zugriff auf den Prozess.

[raman]

Oh, wann hattest du den Downloader gestartet? Bei mir war alles schon down!:(

[Voyager]

@raman
Etwas vor 14.20 Uhr war das , die Zeiten der erstellen Dateien im Hijackthis-Backup im Netzwerkordner (also der Spezial-ordner der auf eine Physische Festplatte aus der VM zeigt) sind von 14.23 Uhr, wo ich versucht hatte die Infektionen innerhalb der VM mit Hijackthis wegzubekommen die 56kb DLL wurde also nachgeladen meinst du ?

[raman]

Ja, diese DLL werden immer nachgeladen. Meistens befindet sich der Dropper dieser DLL noch im TIF Die Rechnung.pdf.exe ist ja auch nicht gross genug um diese Datei zu droppen!;)

[Gast_Dylan_*]

Wann hat den Kaspersky diesen neuen Backdoor.Win32.Agent in die Signaturen aufgenommen ?
Wenn die meisten AV Hersteller erst morgen reagieren,ist das aber schon reichlich spät (zu spät)....

Der Beitrag wurde von Dylan bearbeitet: 07.01.2007, 19:46

[Rios]

Hi Dylan,

Kaspersky 07.01.2007
entdeckt 00:22


Gruß