Skype-Virus: skype_29092012_imagem.exe

Palladin007

Palladin007

assimiliert
Moin

Wie es scheint, geht wieder ein Skype-Virus um.
Eine Freundin hat den auf ihrem Rechner und der versendet munter an alle Skype-Kontakte einen Link mit dem Inhalt
hallo, sag mal ehrlich sind das deine fotos?
Zum Vergrößern anklicken....
Und das hier ist der Link dahinter:
verborgener Text:
http://sendspace.com/pro/dl/ma8kdm?image=palladin007


Ich hab den Link bisher nur in einer Sandbox geöffnet und bin hier hin weiter geleitet worden:
verborgener Text:
http://www.sendspace.com/file/ma8kdm


Als Datei habe ich dann Schlussendlich ein Archiv bekommen, in dem eine skype_29092012_imagem.exe drin lag, mit Facebook-Icon.

Auch die wollte ich in der Sandbox öffnen, aber es passiert rein gar nichts. Es hat sich kurz ein Prozess geöffnet, wurde dann aber wieder geschlossen.
Ich werde gleich auch mal einen Viren-Scanner drüber laufen lassen, abe ich glaub nicht, dass das Ding Erfolg hatte.


Was mich viel mehr interessiert:
Was ist das, was macht es und wie kriegt jemand Infiziertes es weg? :D

Kann mir da jemand helfen oder mir sagen, wie ich das raus finden kann? Wenn es sein muss, richte ich mir auch ein virtuelles System ein und lass den Virus dort fleißig auf ein komplettes Windows los, oder ich splitte meine Partition und installiere Windows in einer neuen Partition komplett neu, dann muss der Virus nicht mal Angst vor einer virtuellen Maschiene haben. ^^


Gruß
 
hab den virus mal ausprobiert..

schreibt sich in skype rein und verschickt sich automatisch weiter per API rechte..
ansonsten ja im recycler sowohl als auch im roaming ordner werden ein paar .exe datein erstellt die sich automatisch ausführen. zudem werden alle antivieren programme verhindert+netzwerkdienste gelöscht (kein inet mehr).

mehr hab ich auch noch nicht rausgefunden...
 
Danke für die Info, ich gebs mal weiter


Wie hast du das denn heraus gefunden? Internet, oder gibts irgend ein Programm, mit dem man sowas untersuchen kann?
Oder hast du genau das gemacht, was ich machen wollte: Virtuelle Maschine und einfach frei laufen lassen? ^^
 
2. PC einfach ausgeführt.
Anschließend gekuckt was alles so zerschossen wurde. Aber scheint mir eher nichts sehr böses zu sein.. einfach nur zerstörung
 
Wie es scheint, wurde das auch alles wieder aus dem Netz genommen.

Bei mir passierte nix und ich bin auch nicht auf den Link gekommen, der verschickt wurde, sondern auf den anderen, den ich geschrieben habe.
Und eine andere Freundin hat auch einfach so drauf geklickt und bei ihr passierte auch nix. Den verschickten Link hat sie auch nicht angezeigt bekommen, daher vermute ich, dass das aus dem Netz genommen wurde.
 
Zur Programmüberwachung (eignet sich sicherlich auch für Viren :D) nehem ich immer:

1. VMWare Player (nur in Virtual Machine starten ;))
2. Wireshark
3. ProcessMonitor

WireShark kontrolliert die ausgehenden Verbindungen von deinem LAN (kann meines Wissens auch außerhalb der VM gestartet werden).
ProcessExplorer erfasst die Dateizugriffe dieser Datei.

Gruß,
bastla
 
Zuletzt bearbeitet:
hi
hab die virus mail gerade von nem freund bekommen, wusste von dem virus nichts, hab also draufgeklickt...
allerdings ist nichts passiert, hab sogar die datei runtergeladen... hab dann eben die info bekommen, dass es sich um einen virus handelt, und sofort die dinger wieder gelöscht, und virenprogramm (avast) komplett durchlaufen lassen, hat allerdings nichts gefunden

ich bin leicht verwirrt, kann es sein, dass mich der virus nicht erwischt hat ??

)P.S. ich hab den link des erste mal über sandboxie angeklickt, allerdings danach mit nem normalen browser als ich dachte die seite wär sicher)
 
Wahrscheinlich wurde der irgendwie entschärft, ich weiß es nicht.

Eine Freundin hat den ja, wie gesagt, auch ahnungslos angeklickt und nichts passierte. Ich hab den über die Sandbox geöffnet und nichts passierte.
Immer nur diese Datei, die in der Sandbox auch nichts getan hat, nach lol4it aber in einem normalen System ne Menge Blödsinn anstellt, hauptsächlich auf Zerstörung ausgerichtet.

Mehr kann ich noch nicht sagen.
 
ja, da er die netzwerktreiber zerschießt ist es auch eher unwahrscheinlich, dass eher spioniert.. jedoch sind alle treiber etc erst nach dem neustart deaktiviert..
wahrscheinlich wird er von avast etc automatisch geblockt da er sich ins system schreibt.
 
Das kann allerdings sein, bei Programmen, die sich ins System legen, sind die ja sowieso immer sehr vorsichtig ^^

Obwohl er es doch an der einen oder anderen Stelle geschafft hat und es auch irgendwie unlogisch ist, dass er die Netzwerktreiber zerschießt.
Schließlich verschickt der ja an alle Skype-Kontakte diese Nachricht und wenn eine Nachricht privat versendet wird, dann wird die nicht auf einen zentralen Server gespeichert, sondern kommt erst an, wenn Absender und Empfänger gleichzeitig online sind.
Versenden vor dem zerschießen der Treiber wäre also nicht sonderlich effektiv.


Du hast gesagt, dass die Treiber erst nach dem Neustart deaktiviert sind.
Heißt das, er deaktiviert sie, beschädigt sie, deinstalliert sie, weißt du, was genau mit denen geschieht?
Dann weiß ich, was man machen kann, wenn er bereits gewütet hat.
 
Ok, hier hat sich jemand mal die Arbeit gemacht und das Ding gründlich untersucht und auch gleich gezeigt, wie man es entfernt:

Skype-Virus

Und lol4it, du hattest Unrecht :p
Die Geschichte im Video gibt mehr Sinn. Nch dem, was ich aus meinem Bekanntenkreis gehört habe, passt das ganz genau. ^^
Ob betroffene Freundin die Datei herunter geladen und installiert hat, kann ich nicht sagen, aber möglich wärs. ^^
 
R.L. schrieb:
hi
hab die virus mail gerade von nem freund bekommen, wusste von dem virus nichts, hab also draufgeklickt...
Zum Vergrößern anklicken....

Warum tut man sowas? WARUM? Brain.exe kaputt? Egal ob das jetzt harmlos war oder nicht: warum tut man sowas?!?
Fragt man da nicht erst zurück "Hey alter, was schickst du mir da? Ich hab das nicht angefordert!", bevor man überhaupt eine völlig fremde Datei runterlädt?

Und wenns meine persönlichste Busenfreunding with Benefits wäre, ohne Rückfrage würd ich niemals einen unaufgefordert zugeschickten Link anklicken, dessen URL mir nicht ansatzweise sicher vorkommt - was wohl bei Sendspace komplett ausser Frage steht, da man da alles hochladen könnte..
 
Könnte ^^


Aber für die, die sich halbwegs auskennen, ist es ja kein Problem, das Ding zu entfenen und die, die da nicht so gut sind, fragen dann halt die Anderen, die sich dann ja hier tummeln ^^
 
Mal eine kurze Zwischenfrage:

Bei mir hat sich Skype in den vergangenen Jahren nie so recht festsetzen können. Ich habe mich deswegen mal nach Alternativen umgesehen. Ich bin dabei auf eine Auflistung von drei anderen Anbietern gestoßen, meebo, FreeCall und Google Talk. Dazu wollte ich an dieser Stelle mal fragen ob einer der Anbieter als wirkliche Alternative gezählt werden kann? Also so, dass in Zukunft damit zu rechnen wäre? Momentan kommt man um Skype nicht herum (alleine wegen der Reichweite), aber vielleicht sieht das in ein paar Jahren ja schon anders aus?!
 
Jetzt gibt man den Befehl „del *.exe“ ein, wodurch die ausführbaren Dateien des Skype Wurms gelöscht werden.
Zum Vergrößern anklicken....

Dieser Befehl entfernt ausnahmslos alle ausführbaren Dateien, die auf .exe enden und ich glaube nicht, dass das so sinnvoll ist. Ich gebe zu, dort liegen nicht viele exe-Dateien, manche haben dort vielleicht auch keine, aber ich habe dort schon ein paar exe-Dateien liegen, die von anderen Anwendungen verwendet werden.

Daher würde ich davon ab raten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben