zertifikat.ssl – Emold?

Seit heute Nacht kurz nach 00:00 Uhr verbreitet sich ein noch unidentifizierter Trojaner (Emold?) über ein Spam-Welle:

Betreff: Lastschrift
Guten Tag!
Ihr Abbuchungsauftrag Nr.06660022 wurde erfullt.
Ein Betrag von 760.52 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Vattenfallabbuchung ” angezeigt.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

Vattenfall Europe AG
Chausseestra?e 23
10115 Berlin

Vertretungsberechtigter: Karl Treumeier
Umsatzsteuerident-Nummer: DR123052388
Handelsregisternummer HRB 74215B

Der Betreff variiert:

  • Lastschrift
  • Inkasso
  • Ratenzahlung
  • Abbuchung erfolgt
  • Abbuchung
  • Amtsgerticht
  • Amtsgericht Koeln
  • Forderungsmanagement GmbH
  • 1 Rate
  • Der EURO Betrag sowie die Anzahlungs Nr. variieren ebenfalls. Im Attachement Rechnung.zip befinden sich zwei Dateien:

    Rechnung.txt
    zertifikat.ssl

    Bei der Datei Rechnung.txt handelt es sich bloss um eine Verknüpfung auf die Datei zertifikat.ssl, welche den eigentlichen Trojaner beinhaltet. Die Datei wird über die Verknüpfung mittels cmd.exe ausgeführt:

    %windir%\system32\cmd.exe /c zertifikat.ssl
    Filename: zertifikat.ssl
    MD5: 57127815d6864a495151e49c7bf7d192
    SHA1: 43a8e686d45c636f1260651ff29abb1a399d3933
    Erkenungsrate: 5/36 (13.89%)

    Nach der Infizierung nimmt der Trojaner Kontakt mit der Domain univnext.cn (218.93.202.102) auf:

    GET http://univnext.cn/ld.php

    Das Attachement sollte auf keinen Fall geöffnet werden. Des Weiteren gilt es, die Domains zu blockeiren:

  • univnext.cn
  • regect.mobi
  • UPDATE 10:44 Uhr

    Der Trojaner scheint noch weiteren Schadcode nach zu laden:

    GET http://regect.mobi/02.exe

    Filename: 02.exe
    File size: 45297 bytes
    MD5…: b8750fa07487b47dc6e1ae54347ddbcb
    SHA1..: 9c584d8cadc7fa47e2d2f647c3310571fe72816d
    Erkennungsrate: 8/36 (22.23%)

    17 Responses to “zertifikat.ssl – Emold?”


    • Gibt es einen Weg den Trojaner wieder aus dem System zu löschen nachdem er sich installiert hat?

    • Musst lediglich alle Dateien des Trojaners aufspüren ;)

      Aus sicherheitstechnischer Sicht empfehle Dir eine Neuinstallation des Betriebssystems.

      Gruß

    • Hat jemand weitere Informationen dazu gefunden?
      Zum Beispiel, ob er sich im Netzwerk verbreite, oder sich selber weiterverschickt oder ähnliches.

      Ich nehme nicht an, dass es schon virenscanner gibt die ihn aufspüren können, oder?

    • Mein Kollege hat ihn sich eingefangen. Der Rechner startet noch, aber der Explorer nicht mehr. Alle Versuche, den über den Taskmanager zum Laufen zu bringen, sind bisher gescheitert. Evtl. blockt der Virenscanner, der angeschlagen hat.

      Hat irgendjemand Tipps? Eine Neuinstallation des Systems sollte vermieden werden.

    • Selbes Problem, Explorer öffnet sich nicht. Man kann jedoch alle Programme über den Tast Manager öffnen (zumindest im abgesicherten Modus)

      Bitte um Hilfe!!

    • Kann hier mal bitte jemand ne Anleitung posten,wie man die Scheisse wieder los wird? Hab aus Neugierde draufgeklickt und nun ists wohl passiert. Hab zwar noch keinen Ausfall,aber wer weiss…Ich weiss nicht,was es manchen Menschen gibt,hier neunmalkluge Ratschläge abzugeben,wie Neuinstallation oder “lediglich alle Dateien des Trojaners aufspüren”. Diese könnten einfach mal die Fresse halten und aufhören an die halbe Welt Trojaner zu versenden. Also coolo,wäre mal etwas mit Substanz.Ich weiss zum Bleistift auch nicht,wie man Webseiten blockiert…Ist wohl eh zu spät dazu oder?

    • hallo?

    • oh, bin ja schon drinn, sorry
      @man says, keine panik , mir ergeht es wie dir hab auch aus neugierde darauf geklickt. aber ich glaube in dem ton kommst du nicht weiter , darum versuche ich es auch noch mal: von vorne. ich habe auch diese rechnung angeklickt, paasiert ist nicht auser das windows eine fehlermeldung brachte “windows muß geschlossen werden” erst danach hab ich av antivir darüberlaufen lassen welches mir die zip datei und den ordner als troyaner gemeldet hat. beides hab ich auch gleich gelöscht. nun findet antivir keinen fehler mehr und ich hab ach keine ausfälle am pc. hab ich noch mal glück gehabt oder ist der pc versucht? bitte um hilfe

      hp

    • Oh meine bessere Seite spricht…Mag er vielleicht recht haben,aber mit so einem Statement,System neu aufsetzen bla bla bla,konnte ja eigentlich gerechnet werden…Also auch hier noch mal die Frage,wie man herausfinden kann,ob das System kompromittiert ist.Ich hab bisher noch keine Probleme und die Windows-Onboardsuche brachte keine neuen exe. Dateien zum Vorschein. Dann hab ich noch in Firefox Adblock Plus mit diesen hier geposteten urls gefüttert und ebenso das BLOCKSITE Addon. Zusätzlich habe ich mal vorsichtshalber Javascript deaktiviert.Reicht das aus für den Anfang oder telefoniert das Biest, auch ohne Firefox zu öffnen, heim??? thanks

      hp

    • @Man
      1. Eigenes Risiko
      2. Bitte mässige dich ein bisschen

      Malwarebytes.org hilft bei mir bei allen bekannten Varianten

      1. Mit dem Tool scannen
      2. Neustart
      3. Zur Sicherheit nochmal mit dem Antivirus scannen
      4. Fertig

      Aber um ganz sicher zu gehen Neuinstallation und das nächste mal nicht auf jeden Link klicken ;-)

      Gruss
      Peter

    • Naja fiese Masche…Wieso kann einem Windows vorgaukeln,dass es sich um eine Textdatei handelt,während es in Wirklichkeit eine Verknüpfung ist…Ich finde,da haperts ganz weit oben in der Hierarchie. Aber danke,ich werd mal Malwarebytes ausprobieren.

    • spybot.infolinck-it.deHallo Leidensgenossen,

      keine Panik, alles wird gut:

      bei dem uns zur Virenentfernung übergebenen Rechner war Spybot S&D erfolgreich:
      http://www.spybot.info
      1) Am infizierten Rechner (XP Pro) über Strg + Alt + Entf den Taskmanager starten und in Windows/System32/dllcache eine saubere explorer.exe ablegen (ob dieser Schritt unnötig ist, lässt sich im Nachhinein nicht mehr feststellen)
      2) an einem anderen PC Spybot herunterladen, auf USB-Stick ablegen und am verseuchten PC anschließen (konnte aus dem Webbrowser Browser des Seuchen-PC selbst nicht gespeichert werden)
      3) Spybot Setup am verseuchten PC aufrufen (vom USB-Stick) und Installation + Updates laufen lassen. Auf Systemwiederherstellungspunkt haben wir aus gegebenem Anlass verzichtet…
      4) Systemcheck starten (bei uns wurde der “Trojan Premium Search Inc” angezeigt) und nach Abschluß des Scans alle Probleme beheben lassen.
      Nach dem Rechnerneustart war der Desktop wieder OK.
      Ob natürlich wirklich ALLE Trojaner aus dem System verschwunden sind, lässt sich an dieser Stelle noch nicht sagen: wir raten unserem Kunden zumindest (falls eine saubere Neuinstallation nicht doch in Frage kommt), in kurzen Zeitabständen Virenscanner und Spybot intensiv laufen zu lassen.

      Tip: eine saubere explorer.exe im Windows-Verzeichnis als explorer2.exe abgelegt ermöglicht den Start des Explorer, wenn auf die Schnelle Daten gesichert werden sollen. Geübte Anwender der alten Schule führen bei Bedarf einfach cmd aus :-)

      Ich hoffe, diese Vorgehensweise hilft auch bei Eueren Rechnern.

      Mit freundlichen Grüßen
      Thomas Carlile
      linCK-IT GmbH & Co. KG
      http://www.linck-it.de

    • Spybot erkennt die (vorhandene) infizierte Datei auf meinem Rechner trotz aktuellem Update nicht (PC-Tools AntiVirus erkennt die infizierte Datei als solche). Der Trojaner lädt offenbar einen anderen Trojaner aus dem Web nach, möglw. wird nur dieser von Spybot richtig erkannt?

      Gruß Phil

    • Hoi,

      es existiert mal wieder eine neue Variante von wsnpoem. das Teil nistet sich als brask.exe im system ein.
      Bin bei meiner Tante im Zuge einer Recherche auf diversen Seiten gesurft, ploetzlich fuhr der PC herunter und startete neu. Danach war AVAST deaktiviert, Antivirus2008 wurde installiert und bei firefox fuehrte jede google recherche zu irgendwelchen WerbeSeiten.

      McAfee Rootkit Detective konnte ich den Prozess brask.exe unhooken und danach funktionierte avast auch wieder. Google Treffer werden immernoch umgeleitet. Desweiteren wurden die Policies noch geaendert.

      Welche Sicherheitsluecke wurde da aktuell ausgenutzt? Ich habe keine Exe gestartet. Der Trojaner kam durchs surfen mit Firefox.

      gruessle

    • also ganz bick ich jetzt noch nicht durch.
      ich habe ja aus neugierde (dummheit) diese falsche TXT gestartet und somit wohl die zertifikat.ssl in betrieb gesetzt. anscheinend wird dieser Troyaner ” drop.ibill.bd” und seine folgen von av antivir erkannt. ich habe nun mein system mehrfach mit av antivir geprüft sowie auch mit spybot, beides mit den neusten versionen. ist mein sytem jetzt noch verseucht oder kann ich davon ausgehen wenn beide nichts finden das ich noch mal glück gehabt habe. bitte um info

      hp

    • Guckt Euch mal die Eintragungen bei Avira.com zu TR/Dldr.iBill.BD an.
      Offenbar trägt sich das Teil in die Registry ein und befällt die svchost.exe.
      Schade, daß mal wieder die Viren schneller sind als die Virenscanner.

    • Nachtrag:
      bei dem bei uns überprüften Rechner wurde im Windows-Verzeichnis das Verzeichnis “Microsoft Common” angelegt mit einer verseuchten “svchost.exe”.
      Wir haben vor der Bereinigung das komplette Verzeichnis “Microsoft Common” gelöscht, da dies nicht auf “gesunden” XP-Systemen zu finden war und die svchost.exe anscheinend verseucht war (Info von “clamAV”).
      Diese Info hatte ich im Eifer des Gefechts vergessen mit anzugeben.
      TC / linCK-IT

    Leave a Reply




    economics-recluse
    Scene
    Urgent!