Neuer Virus im Umlauf

  • Momentan läuft ein neuer Virus im Netz, welcher per E-Mail auf den heimischen PC gelangt. Die Mail kommt angeblich von Amazon, was aber nicht stimmt, da das Unternehmen bestätigt hat, das die Mail nicht von Amazon stammt. Der E-Mail hängt eine Zip-Datei an, diese auf KEINEN Fall öffnen, da damit der Virus ausgeführt wird. Diese Mail am besten sofort löschen.


    Die Mail hat folgenden Inhalt:




    Vielen Dank fur Ihre Bestellung bei Amazon.de!


    Das Sony VAIO VGN-1391517 Zoll WXGA Notebook
    wird in kurze versendet. Die Kosten von 1215,- Euro
    werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer
    Bestellung entnahmen Sie bitte der angefugten Rechnung. Falls Sie
    die Bestellung stornieren mochten, bitte den in der Rechnung angegebenen,
    kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten.
    Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen schriftlich zugestellt.



    Beachten Sie bitte: Diese E-Mail wurde von einer nur fur Benachrichtigungen
    verwendeten Adresse gesendet. Eingehende E-Mails konnen nicht angenommen
    werden. Antworten Sie nicht auf diese Nachricht.


    Vielen Dank fur Ihren Einkauf bei Amazon Marketplace.


    Amazon.de Kundenservice
    http://www.amazon.de


    Der Schreiber dieser Mail rechnet mit der Angst der User und erhofft sich, schon mit grossem Erfolg, das diese die angebliche Rechnung einsehen wollen, um zu sehen, wer wo wie was bestellt hat. Wobei, wie schon erwähnt, der Virus beim Öffnen der Zip-Datei ausgelöst wird.


    Die Zip-Datei ist folgendermassen gekennzeichnet: Der Anhang 13915.zip (2,2 kb groß) enthält statt weiterer Informationen die Datei 13915.exe. Ausgelöst wird durch die .exe ein Trojan.Downloader-Virus. Es kann natürlich sein, das sich auch andere Trojaner / Viren dahinter verbergen, da sich die E-Mail-Header unterscheiden können.


    Vorsicht ist geboten, da dieser Trojan.Download-Virus nach dem Öffnen nicht von allen Virenprogrammen erkannt wird.


    Desweiteren kursieren neben diesen Amazon-Mails im gleichen Kaliber von: BKA, GEZ, 1&1 sowie von der nicht exstierenden Firma TMS Logistik,

  • So, ich habe mir mal von einem "Infizierten",:), eine dieser Mails zukommen lassen und den Zip in einer sicheren, abgeschotteten Umgebung bei mir auf dem PC geöffnet.


    BITTE NICHT NACHMACHEN!!


    Durch das Öffnen der Zip-Datei löst der Virus den Trojaner-Download aus und lädt weitere Trojaner-Informationen aus dem Internet auf den PC. Dort infiziert er das System und versucht danach, sich an alle auf dem infizierten PC befindlichen E-Mail-Adressen zu verschicken, was dann eine grosse Verbreitung durch einen sogenannten Schneeballeffekt ergibt.


    Dann sind zusätzlich, was ich gerade eben erst erfahren habe, neben oben erwähnten Absenderadressen auch noch solche Mails mit Absenderangabe von IKEA unterwegs.

  • Trari - Trara - einmal im Monat ist sie bei vielen Menschen da. Die Telekomrechnung auf dem PC.


    Denkt man. Ist aber so. So - oder so.


    Das erste So ist ganz okay, das heisst, es ist in Ordnung und man muss damit leben.


    Beim anderen so ist es nicht so, sondern so:


    Man bekommt eine Mail mit einem Betreff wie "Telekom Rechnung Monat 03 2007" oder einfach "Rechnung Telekom". Daran ist noch nichts Verwerfliches.


    Aber man wartet nicht lange darauf. Es beginnt im Body der Mail. Der Text weist eine Rechnungssumme von mehreren hundert Euro aus. Gott ja, da wird man erst mal blass. Gut, man reisst sich zusammen und kneift sämtliche Muskeln zusammen, denn immerhin gibt es ja den allseits bekannten Anhang à la PDF-Datei, wo man überprüfen kann, wo oder was wie auch immer die Leitungen zum euronischen Glühen brachte.


    Und da ist sie auch schon, brav wie immer dort, wo sie sonst auch klebt. Betrachten wir sie mal:


    Der Anhang ist eine 8.704 Byte große Datei mit PDF-Symbol. Hmmm-ja, noch nicht sooo auffällig. Ganz besonders auffällig ist aber der Name der Datei:


    "T-COM-Rechnung.pdf.exe"


    Und ab da weiss der Kluge bescheid, da liegt aber auch der Hase im Pfeffer. Ein PDF-Datei hat NIEMALS eine exe = executable-Erweiterung. Da hier eine existiert, handelt es sich um die Ausführungsdatei für ein schädliches Programm.


    Nun fragt man sich: Was wird hier ausgeführt, ohne das ich das Viecherl öffnen muss?


    Wird die Datei geöffnet, also ausgeführt, legt sie eine weitere schädliche Datei namens "sysldr.dl" im System-Verzeichnis von Windows an. In der Registry wird eine neue Kennung (CLSID, eine lange Nummer) generiert, auf die in weiteren Registry-Einträgen Bezug genommen wird:


    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    sysldr = <CLSID>


    HKCR\CLSID\<CLSID>\InprocServer32
    @ = sysldr.dll


    Klar, das sagt jetzt eingeschworenen Profis was, aber nichts den Usern, welche in der hehren Kunst der Registry nicht so bewandert sind.


    Dieser Schädling ist ein Trojanisches Pferd. Und dieses doch sehr gerissene Hottemax nimmt nach einer Infizierung den Kontakt zu einem Webserver in Texas auf, was ja bekanntermaßen in den USA liegt. Dabei ruft der Trojaner ein PHP-Script auf dem Server auf und überträgt Daten vom infizierten Rechner nach dort. Auf diese Weise kann der Web-Server darüber Buch führen, wie viele und welche Rechner bereits infiziert sind. Das Trojanische Pferd hat keine eigene Verbreitungsfunktion, also verbreitet sich nicht selbst durch Verschicken über E-mail.


    Der Sinn des Ganzen?


    Die infizierten Rechner sollen mutmaßlich zu einem weltweiten Teil eines Botnets gemacht werden.


    Das soll der Trojaner machen. Machen wir solch ein Teil auf? Nee, machen wa nich!!


    Bekannte Formen dieses Trojaners, wie er in diesen Mailanhängen enthalten sein kann.


    TR/Dldr.TComBill.N


    Trojan.Downloader.Small.COQ


    Trojan.Downloader.Small-1139-1


    BackDoor.Sicklebot


    Trojan/Worm [101]


    (Win32/DlWreck.AA) *


    Downloader.Small.coq


    Trojan-Downloader.Win32.Small.coq


    suspicious (W32/Vidlo.L!tr) *


    Email-Worm.Win32.Mydoom.gen


    Trojan-Downloader.Win32.Small.coq


    Suspicious file (Trj/Downloader.IEI) *


    Troj/Vidlo-L


    Download.Trojan


    TROJ_YABE.M