Seit heute Nacht kurz nach 00:00 Uhr verbreitet sich ein noch unidentifizierter Trojaner (Emold?) über ein Spam-Welle:
Guten Tag!
Ihr Abbuchungsauftrag Nr.06660022 wurde erfullt.
Ein Betrag von 760.52 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Vattenfallabbuchung ” angezeigt.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung
Vattenfall Europe AG
Chausseestra?e 23
10115 Berlin
Vertretungsberechtigter: Karl Treumeier
Umsatzsteuerident-Nummer: DR123052388
Handelsregisternummer HRB 74215B
Der Betreff variiert:
Der EURO Betrag sowie die Anzahlungs Nr. variieren ebenfalls. Im Attachement Rechnung.zip befinden sich zwei Dateien:
zertifikat.ssl
Bei der Datei Rechnung.txt handelt es sich bloss um eine Verknüpfung auf die Datei zertifikat.ssl, welche den eigentlichen Trojaner beinhaltet. Die Datei wird über die Verknüpfung mittels cmd.exe ausgeführt:
MD5: 57127815d6864a495151e49c7bf7d192
SHA1: 43a8e686d45c636f1260651ff29abb1a399d3933
Erkenungsrate: 5/36 (13.89%)
Nach der Infizierung nimmt der Trojaner Kontakt mit der Domain univnext.cn (218.93.202.102) auf:
Das Attachement sollte auf keinen Fall geöffnet werden. Des Weiteren gilt es, die Domains zu blockeiren:
UPDATE 10:44 Uhr
Der Trojaner scheint noch weiteren Schadcode nach zu laden:
Filename: 02.exe
File size: 45297 bytes
MD5…: b8750fa07487b47dc6e1ae54347ddbcb
SHA1..: 9c584d8cadc7fa47e2d2f647c3310571fe72816d
Erkennungsrate: 8/36 (22.23%)
Gibt es einen Weg den Trojaner wieder aus dem System zu löschen nachdem er sich installiert hat?
Musst lediglich alle Dateien des Trojaners aufspüren
Aus sicherheitstechnischer Sicht empfehle Dir eine Neuinstallation des Betriebssystems.
Gruß
Hat jemand weitere Informationen dazu gefunden?
Zum Beispiel, ob er sich im Netzwerk verbreite, oder sich selber weiterverschickt oder ähnliches.
Ich nehme nicht an, dass es schon virenscanner gibt die ihn aufspüren können, oder?
Mein Kollege hat ihn sich eingefangen. Der Rechner startet noch, aber der Explorer nicht mehr. Alle Versuche, den über den Taskmanager zum Laufen zu bringen, sind bisher gescheitert. Evtl. blockt der Virenscanner, der angeschlagen hat.
Hat irgendjemand Tipps? Eine Neuinstallation des Systems sollte vermieden werden.
Selbes Problem, Explorer öffnet sich nicht. Man kann jedoch alle Programme über den Tast Manager öffnen (zumindest im abgesicherten Modus)
Bitte um Hilfe!!
Kann hier mal bitte jemand ne Anleitung posten,wie man die Scheisse wieder los wird? Hab aus Neugierde draufgeklickt und nun ists wohl passiert. Hab zwar noch keinen Ausfall,aber wer weiss…Ich weiss nicht,was es manchen Menschen gibt,hier neunmalkluge Ratschläge abzugeben,wie Neuinstallation oder “lediglich alle Dateien des Trojaners aufspüren”. Diese könnten einfach mal die Fresse halten und aufhören an die halbe Welt Trojaner zu versenden. Also coolo,wäre mal etwas mit Substanz.Ich weiss zum Bleistift auch nicht,wie man Webseiten blockiert…Ist wohl eh zu spät dazu oder?
hallo?
oh, bin ja schon drinn, sorry
@man says, keine panik , mir ergeht es wie dir hab auch aus neugierde darauf geklickt. aber ich glaube in dem ton kommst du nicht weiter , darum versuche ich es auch noch mal: von vorne. ich habe auch diese rechnung angeklickt, paasiert ist nicht auser das windows eine fehlermeldung brachte “windows muß geschlossen werden” erst danach hab ich av antivir darüberlaufen lassen welches mir die zip datei und den ordner als troyaner gemeldet hat. beides hab ich auch gleich gelöscht. nun findet antivir keinen fehler mehr und ich hab ach keine ausfälle am pc. hab ich noch mal glück gehabt oder ist der pc versucht? bitte um hilfe
hp
Oh meine bessere Seite spricht…Mag er vielleicht recht haben,aber mit so einem Statement,System neu aufsetzen bla bla bla,konnte ja eigentlich gerechnet werden…Also auch hier noch mal die Frage,wie man herausfinden kann,ob das System kompromittiert ist.Ich hab bisher noch keine Probleme und die Windows-Onboardsuche brachte keine neuen exe. Dateien zum Vorschein. Dann hab ich noch in Firefox Adblock Plus mit diesen hier geposteten urls gefüttert und ebenso das BLOCKSITE Addon. Zusätzlich habe ich mal vorsichtshalber Javascript deaktiviert.Reicht das aus für den Anfang oder telefoniert das Biest, auch ohne Firefox zu öffnen, heim??? thanks
hp
@Man
1. Eigenes Risiko
2. Bitte mässige dich ein bisschen
Malwarebytes.org hilft bei mir bei allen bekannten Varianten
1. Mit dem Tool scannen
2. Neustart
3. Zur Sicherheit nochmal mit dem Antivirus scannen
4. Fertig
Aber um ganz sicher zu gehen Neuinstallation und das nächste mal nicht auf jeden Link klicken
Gruss
Peter
Naja fiese Masche…Wieso kann einem Windows vorgaukeln,dass es sich um eine Textdatei handelt,während es in Wirklichkeit eine Verknüpfung ist…Ich finde,da haperts ganz weit oben in der Hierarchie. Aber danke,ich werd mal Malwarebytes ausprobieren.
spybot.infolinck-it.deHallo Leidensgenossen,
keine Panik, alles wird gut:
bei dem uns zur Virenentfernung übergebenen Rechner war Spybot S&D erfolgreich:
http://www.spybot.info
1) Am infizierten Rechner (XP Pro) über Strg + Alt + Entf den Taskmanager starten und in Windows/System32/dllcache eine saubere explorer.exe ablegen (ob dieser Schritt unnötig ist, lässt sich im Nachhinein nicht mehr feststellen)
2) an einem anderen PC Spybot herunterladen, auf USB-Stick ablegen und am verseuchten PC anschließen (konnte aus dem Webbrowser Browser des Seuchen-PC selbst nicht gespeichert werden)
3) Spybot Setup am verseuchten PC aufrufen (vom USB-Stick) und Installation + Updates laufen lassen. Auf Systemwiederherstellungspunkt haben wir aus gegebenem Anlass verzichtet…
4) Systemcheck starten (bei uns wurde der “Trojan Premium Search Inc” angezeigt) und nach Abschluß des Scans alle Probleme beheben lassen.
Nach dem Rechnerneustart war der Desktop wieder OK.
Ob natürlich wirklich ALLE Trojaner aus dem System verschwunden sind, lässt sich an dieser Stelle noch nicht sagen: wir raten unserem Kunden zumindest (falls eine saubere Neuinstallation nicht doch in Frage kommt), in kurzen Zeitabständen Virenscanner und Spybot intensiv laufen zu lassen.
Tip: eine saubere explorer.exe im Windows-Verzeichnis als explorer2.exe abgelegt ermöglicht den Start des Explorer, wenn auf die Schnelle Daten gesichert werden sollen. Geübte Anwender der alten Schule führen bei Bedarf einfach cmd aus
Ich hoffe, diese Vorgehensweise hilft auch bei Eueren Rechnern.
Mit freundlichen Grüßen
Thomas Carlile
linCK-IT GmbH & Co. KG
http://www.linck-it.de
Spybot erkennt die (vorhandene) infizierte Datei auf meinem Rechner trotz aktuellem Update nicht (PC-Tools AntiVirus erkennt die infizierte Datei als solche). Der Trojaner lädt offenbar einen anderen Trojaner aus dem Web nach, möglw. wird nur dieser von Spybot richtig erkannt?
Gruß Phil
Hoi,
es existiert mal wieder eine neue Variante von wsnpoem. das Teil nistet sich als brask.exe im system ein.
Bin bei meiner Tante im Zuge einer Recherche auf diversen Seiten gesurft, ploetzlich fuhr der PC herunter und startete neu. Danach war AVAST deaktiviert, Antivirus2008 wurde installiert und bei firefox fuehrte jede google recherche zu irgendwelchen WerbeSeiten.
McAfee Rootkit Detective konnte ich den Prozess brask.exe unhooken und danach funktionierte avast auch wieder. Google Treffer werden immernoch umgeleitet. Desweiteren wurden die Policies noch geaendert.
Welche Sicherheitsluecke wurde da aktuell ausgenutzt? Ich habe keine Exe gestartet. Der Trojaner kam durchs surfen mit Firefox.
gruessle
also ganz bick ich jetzt noch nicht durch.
ich habe ja aus neugierde (dummheit) diese falsche TXT gestartet und somit wohl die zertifikat.ssl in betrieb gesetzt. anscheinend wird dieser Troyaner ” drop.ibill.bd” und seine folgen von av antivir erkannt. ich habe nun mein system mehrfach mit av antivir geprüft sowie auch mit spybot, beides mit den neusten versionen. ist mein sytem jetzt noch verseucht oder kann ich davon ausgehen wenn beide nichts finden das ich noch mal glück gehabt habe. bitte um info
hp
Guckt Euch mal die Eintragungen bei Avira.com zu TR/Dldr.iBill.BD an.
Offenbar trägt sich das Teil in die Registry ein und befällt die svchost.exe.
Schade, daß mal wieder die Viren schneller sind als die Virenscanner.
Nachtrag:
bei dem bei uns überprüften Rechner wurde im Windows-Verzeichnis das Verzeichnis “Microsoft Common” angelegt mit einer verseuchten “svchost.exe”.
Wir haben vor der Bereinigung das komplette Verzeichnis “Microsoft Common” gelöscht, da dies nicht auf “gesunden” XP-Systemen zu finden war und die svchost.exe anscheinend verseucht war (Info von “clamAV”).
Diese Info hatte ich im Eifer des Gefechts vergessen mit anzugeben.
TC / linCK-IT