Infizierte Webseiten Einstellungen

[markus17]

ist trotzdem phishing , das geht niemals auf paypal.com

Lol, denkst du das weiß ich nicht? xD ... trotzdem leitet einem das Formular nach dem Absenden der Daten auf PayPal.com um :p

.. Wohin die Daten gehen überprüfe ich gleich.

[markus17]

Im Quelltext der HTML-Datei steht, dass der Submitbutton folgende Website aufruft:
hxxp://giuliano.200u.com/i.php

Pingen kann ich die Webseite nicht, allerdings sehe ich über Wireshark, dass sowohl der Aufruf der i.php und die Daten an die 75.126.207.92 gehen. Ruft man die i.php auf, dann landet man wiederum auf PayPal.com.

[Voyager]

Der Hoster ist schon für Phishing bekannt http://safeweb.norton.com/report/show?url=200u.com

[Varock]

[Voyager]

Ist das schlecht wenn Safeweb grün ist ? :P

[Varock]

Also ich wollte da gerade shoppen. xD

[citro]

Jetzt gibt's schon Werbung für Fake AVs bei Youtube

Youtube

[Voyager]

Es ist immer dasselbe Video , der zeigt den FakeAV nur kurz damit man die Fakeviren-Erkennung nicht sieht und schreibt irgendwelchen Quatsch ins Notepad .

[Rios]

So geht's auch.



Info: Smokey Bear

http://www.dslreports.com/forum/r24080636-...-search-results

[Voyager]

Krass , auf der URL diese exe .. ich hoffe mal die überlebt nicht allzulange sonst ist das sehr rufschädigend.

[markus17]

Die URL ist ja echt heftig. :-o ... ist das der erste Bundestrojaner? xD

*edit*
Die URL gibt es ja sogar offiziell ... das hat Voyager also mit Rufschädigung gemeint.

Der Beitrag wurde von markus17 bearbeitet: 10.04.2010, 21:18

[Rios]

Hatte nach Druckerpatronen auf dieser Seite gesucht, als sich plötzlich Norton Safe Web einklinkte und mir das zeigte. Scheint aber nirgendwo anders bemängelt zu werden.
http://safeweb.norton.com/report/show?url=...mp;x=13&y=7

[Solution-Design]

Hatte nach Druckerpatronen auf dieser Seite gesucht, als sich plötzlich Norton Safe Web einklinkte und mir das zeigte. Scheint aber nirgendwo anders bemängelt zu werden.
http://safeweb.norton.com/report/show?url=...mp;x=13&y=7

Ist nur ein Video. Sieht nach Fehlalarm aus.

[Rios]

Danke SD, hier blacklisted auch nur Norton.

http://sucuri.net/index.php?page=scan2

Link war eigentlich unnötig, deshalb entfernt.

Der Beitrag wurde von Rios bearbeitet: 11.04.2010, 10:49

[Rios]

Aus dem Malwarebytes Forum:

http://forums.malwarebytes.org/index.php?showtopic=46557

Sonar hat ihn gekillt!! Ich liebe Sonar!!

[markus17]

G Data erkennt das File bereits per Signatur. Mit einem alten Signaturenstand sieht es jedoch nicht soo gut aus: Startet man die setup.exe, lädt sie erst einmal etwas aus dem Netz nach. Es starten sich weitere Prozesse im Hintergrund und dann meldet sich der BB von G Data...

*** Prozess ***

Prozess: 3524
Dateiname: zbq.exe
Pfad: c:\docume~1\ietest\locals~1\temp\zbq.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 04/11/10 16:28:14
Änderungsdatum: 04/11/10 16:28:14

Gestartet von: setup.exe
Herausgeber: Unbekannter Herausgeber


*** Aktionen ***

Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.
Das Programm hat einen neuen Job im Task-Planer eingerichtet.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
c:\docume~1\ietest\locals~1\temp\zbq.exe
c:\windows\tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job
c:\windows\zsufea.exe

Folgende Registry Einträge wurden gelöscht:

Leider wird die Infektion dadurch nicht verhindert, da ein Prozess im Hintergrund weiterläuft. Auch nach einem Neustart. Ich werde das Sample mal an G Data weiterleiten.

Der Beitrag wurde von markus17 bearbeitet: 11.04.2010, 17:45

[Rios]

W32/VBTrojan.Dropper.4!Maximus

Vtt: 4/39 Symantec war nicht dabei!!

Ich bekam vom AV die Warnung, ich sei einer der ersten, der die Datei verwenden möchte. Dann Start in der Sandbox ect.

[Voyager]

Du klickst die Sachen hoffentlich nicht auf dem Arbeits-System an :P

[Rios]

Nö, wo denken wa hin. Hab da noch einen alten Athlon 2400 für solche Sachen

[markus17]

Also ich konnte nur mehr eine "decogim.exe" statt einer out.exe finden. Da allerdings der V-Totalupload vier (erneuter Scan 5) Ergebnisse hervorbringt, ohne Symantec, gehe ich mal davon aus, dass es sich um die selbe Datei handeln kann.
decogim.exe http://www.virustotal.com/de/analisis/fb4c...53f2-1271019764

Die Datei wird beim Ausführen erfolgreich vom G DATA Verhaltensblocker entfernt. Hier der Protokolleintrag:

*** Prozess ***

Prozess: 2868
Dateiname: decogim.exe
Pfad: c:\documents and settings\ietest\my documents\downloads\decogim.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 04/11/10 21:00:50
Änderungsdatum: 04/11/10 21:00:51

Gestartet von: decogim.exe
Herausgeber: Unbekannter Herausgeber


*** Aktionen ***

Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.
Das Programm wurde im Speicher modifiziert.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
c:\documents and settings\ietest\my documents\downloads\decogim.exe
c:\windows\csrssm.exe
c:\windows\csrssm.exe:zone.identifier

Folgende Registry Einträge wurden gelöscht:

*edit*
Ich hab mal Spaßhalber gegoogelt und bin dann auf folgende out.exe gestoßen:
http://www.virustotal.com/de/analisis/e685...a3c0-1271019769
Die wird mittlerweile von vielen Scannern erkannt. G Data mit dem Signaturenstand vom 20.03.2010 erkennt es noch nicht. Das Ding wird aber wieder vom Verhaltensblocker gelöscht und zeigt laut Protokoll eine sehr ähnliche Verhaltensweise. ^^

Der Beitrag wurde von markus17 bearbeitet: 11.04.2010, 22:11