Um 9:34 (GMT +1) erhielt ich ein Mail mit einem Virus, welcher laut VirusTotal zur Zeit (12.11.2007 10:30:47 (CET)) durch 5/32 (ClamAV, F-Secure, Ikarus, Kaspersky, Webwasher-Gateway) Antivirenhersteller erkennt wird. Das Mail sieht wie folgt aus:
Attachement: card.zip
Good morning, friend!
Monica T. sent you animated card with her photos. You can check card in your attachment.
–
Best regards
Adult Friend Finder
Der Betreff kann zwischen “Card from Adult Sex Finder”, “Card from Adult Friend Finder”, “You have card” variieren.
Das Attachement card.zip hat folgendes File als Inhalt:
File size: 19968 bytes
MD5: 2d4fb20cd95d6411d4274ec617a758de
SHA1: d27d2a91a707f1ab29d3307b9246b5f317fbbba8
Es ist empfehlenswert, Files mit der Dateiendung *.scr bereits am Mailgateway zu blockieren, da diese zu 99,99% mit Viren verseucht sind!
Weitere Infos folgen…
UPDATE 11.12.2007 12:41 (GMT +1)
McAfee hat den Virus soeben als neu Erkennung Spy-Agent.bv.dldr trojan bestätigt:
RE: Escalated – 4433412: Webimmune
A.V.E.R.T. Sample Analysis
Issue Number: 4433412
McAfee Avert(tm) Labs, Aylesbury, UK
Identified: Spy-Agent.bv.dldr trojan
UPDATE 11.12.2007 17:33 GMT +1
Ich habe das File auf meiner Labormaschiene einmal unter die Lumpe genommen.
Als erstes holt sich der Virus ein Konfigurations File von http://208.66.194.242/40e8001….., dann Kontaktiert er den Server bei 216.195.61.87. Danach folgt das Ausführen der durch das Konfigurations File erhaltenen Aufgaben: Weiter Verbreitung per Email.
Kontaktierte Hosts
208.66.194.242 auf Port 80 (McColo Corporation, USA)
216.195.61.87 auf Port 2581 (APS Telecom, USA)
