ACHTUNG! Live Messenger Wurm o.ä. unterwegs

[Threepwood]

Moinsen..

mehrere meiner Kontakte über WIndows Live Messenger wolten mir eine Datei namens photo album-2007.scr übermitteln. Diese Datei ist a) nicht absichtlich verschickt, und b) offensichtlich ein Wurm, denn beim öffnen der Datei verschickt sich diese Datei selbständig an alle (online) Kontakte. Virenscan und Spybot laufen bereits. Wer mehr Infos hat, bitte her damit! Mehr als hier posten kann ich grad selbst nich, da ich erstmal mein System komplett scanne. Und das kann dauern.

LG

 

[Gast5065]

Niemals etwas öffnen, was man nicht kennt!

 

[OSI-L8]

Jaaa, was der Bauer nicht kennt, dass frisst er nicht ^^ Wo bleibt denn da der Mut zum Unbekannten ^^

 

[Cesar]

Naja, wenn ich von einer mir Vertrauten Person eine Datei bekomme, guck ich natürlich mal rein.
ich wäre auch gar nicht auf den Gedanken gekommen, dass da nen Virus drin wäre...

 

[Brummelchen]

IRC, ICQ - alles nette Einfallstore - geht doch nix über die gute alte Mail.
Es sind immer dieselben Dummen, die auf den Müll reinfallen, weil's hipp ist,
sich darüber "mal eben" was zuzusenden. Dann schaltet doch wenigstens
die Virenüberprüfung dafür ein, falls ICQ das überhaupt kann, QIP kann es.

 

[Threepwood]

Nun.. wenns denn ICQ gewesen wäre.

Die Schaddatei kam mit dem Text (nicht original, kA wie das im wortlaut war):
"Guck mal, meine neuesten Bilder"
Das Ganze war eine "photo album-2007.scr", wie man sie mit jedem Bildschirmschoner Editor erstellen kann, also nix, wo gleich die Alarmglocken läuten. Virenscan, der im WLM vorhanden ist, ist im Übrigen negativ gewesen. Soviel also dazu.
Bisher kann ich nur sagen, dass diese SCR sich im System einnistet, eine x.exe startet, und einen c:\install\ Ordner sowie darin zwei oder drei Dateien erstellt, darunter eine .bat, in der man Grüsse von "Bunny Labs" o.ä. findet.

Nach dem löschen aller Dateien, die heute erstellt wurden (inkl. versteckter und Systemdateien), die nicht definitiv daher rühren können, war Ruhe. Bin den Schädling also erstmal los. HiJackThis ist ebenfalls sauber.

Ärgerlich find ich halt, dass der Text tatsächlich so klang, als hätte mein Kontakt mir eben neuere Bilder zu zeigen, und ein Virenscan erfolglos war.

LG

 

[Franz]

Backdoor Zinx (Trojan.KillAV.C.)

Relativ kritisch, relativ selten, relativ alt (2003).
Im Grunde genommen sollte der Virenscanner den Trojaner ohne weiteres erkennen.
Auch mit HijackThis ist er zumindest lokalisierbar.

Aber etwas anderes fällt mir auf:

mir eine Datei namens photo album-2007.scr übermitteln

Wenn man als Benutzer mit Admin-Rechten im Internet unterwegs ist,
sollte zumindest der Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" unter
Windows Explorer -> Extras -> Ansichten
entfernt sein.

Dadurch hat jeder Empfänger die Möglichkeit, eine "getarnte" .exe - Datei im Vorfeld zu erkennen.

Im Grunde genommen hätte es auch vor der eigentlichen Endung ".doc, .pdf oder .xls" oder sonst was, stehen können.
Dem Trojaner ist das leider leidlich wurscht.

Ausserdem:
Warum schickt mir ein Bekannter seine neuesten Bilder als Screensaver?

 

[Threepwood]

Ähm.. die kam DIREKT als .scr, nicht als getarnte exe.

Da die Datei von einem eigentlich vertrauenswürdigen Kontakt, und noch dazu mit plausiblem Text in deutsch sowie als Bildschirmschoner (wie manche Alben), hab ich draufgeklickt. Quasi viele kleine Sachen, die zusammen eigentlich Vertrauenswürdig sind. Aber leider nicht wirklich waren. Und nebenbei: bin kein Admin. Eingeschränkter Nutzer unter XP SP2. Soviel dazu

LG

 

[Brummelchen]

>> eigentlich vertrauenswürdigen Kontakt

Wenn dieses shice "eigentlich" nicht wäre.

 

[Gast5065]

Wenn mir jemand über nen Messenger was schickt werde ich meist vorgewarnt, oder ich frage nach, was das ist.
Sollte die Datei nicht gewollt von dem Kontakt kommen, wird sowas gleich entsorgt.
Online sein mit Brain.exe bringt schon was

 

[FestusCool]

Den gleich vorfall hatte ich heute auch.
Um ganz genau zu sein die Person schrieb mir (natürlich auch nicht extra):
Heiße foto´s von mir.
und dann eine Datei mit den Namen: myalbum2007
Anscheintein der gleich... naja...
Wer es nötig hat "Heiße Foto´s" sich anzugucken soll drauf klick.


gez. Festus

 

[Franz]

Insgesamt sollte dein aktuelles AV Programm den Trojaner im Griff haben.
Die Angaben bei Symantec, wo sich das Teil noch überall einschreibt, sind
sehr ausführlich, vielleicht kannst du die Angaben nach dem Scan noch überprüfen.
Evtl. geöffnete Ports (Firewall/Router) solltest du wieder schließen.
Überlege dir auch, einen Registrywächter zu installieren.

Eingeschränkter Nutzer unter XP SP2

Streiten will ich nicht, aber, egal wie es im Detail auschaut,
dein Sicherheitskonzept hat mindestens drei Löcher, die die Datei genutzt hat:

- Zugriff auf die Registrierung wurde erlaubt
- Ports konnten ungefragt geöffnet werden
- AV war beim Dateiabruf ausgeschaltet

 

[Threepwood]

Nun Arcanoa..

keine Ahnung wie du auf Backdoor Zinx (Trojan.KillAV.C.) kommst, aber keines der dort beschriebenen Dinge trifft hier zu. Das einzige, was dem hier passierten gleicht, ist der Name der Datei x.exe. Warum auch immer du mir nicht glauben willst, aber ich versichere dir, AV war an, und der Zugriff auf die Reg war unterbunden. Das zeigt der Vergleich zwischen der Regdatei von Anfang der Woche und der gestrigen, den ich grade ziehe, denn ich hab den wohl eher zutreffenden Schädling gefunden. Weder in Run, Runonce, Run- oder dem bei Symantec genannten Schlüsseln gibt es Änderungen. Dort genannte Dateien existieren übrigens ebenfalls nicht. Wie kommst du also auf genau diesen Trojaner? Denn bei meiner Recherche traf ich heute morgen auf folgenden:
W32.Mubla - Symantec.com
Discovered: June 1, 2007
Updated: June 1, 2007 9:58:39 AM
Type: Worm
Also gar nicht soo alt. Zumindest kann ich nun sagen, dass meine Reg sauber , und meine Festplatte dank mittlerweile dreier AV Programme auch als sauber zu betrachten ist. Meine Löschaktion gestern hat wohl das Schlimmste bereits verhindert.

LG

 

[Franz]

Nun ja,

da war ich etwas zu voreilig, weil die x.exe von etlichen Schädlingen genutzt wird,
und Zinx gehört zu den ersten, der sie ausnutzte.
Eine der Eigenschaften der Datei ist, diese (Run -) Einträge in der Registry zu hinterlassen.
Sorry, für die Fehleinschätzung.

Wenn das bei dir nicht so ist, um so besser.
Aber wenn du alle obg. Punkte abgesichert hattest, wundert's mich, und bestimmt auch dich, trotzdem,
daß oder warum weder AV noch die FW angesprungen sind, als die Datei gestartet wurde.

Übrigens hat TrendMicro im April auf den Wurm WORM_SODOKU.A aufmerksam gemacht.
Dieser hat sehr große Ähnlichkeit mit deinem, allerdings mit einer endlosen Reihe an Einträgen in der Registry.
Merkwürdig hier, daß keine Alias genannt werden, weder hier noch bei Symantec.

 

[Threepwood]

Ich bin nach wie vor skeptisch, und warte nun einfach die nächsten Tage ab. So eine fixe Verbreitung bleibt eigentlich selten unbeobachtet, und noch dazu ist das Ergebnis meiner bisherigen Recherche ja auch nicht unbedingt "der" Treffer. Maybe ist das ja wiederum ein Derivat meines Fundes, und somit noch nicht dokumentiert, und noch weniger über AV auffindbar. Erst heute hatte ich noch Überreste dank erneutem Virenscan gefunden, die aber wohl inaktiv waren, weil die startenden Programme fehlten. Da muss aber im heutigen Update etwas neues dabei gewesen sein - Avira ist bei mir das ausführende Organ in Sachen Viren/Trojaner. Ergo -> mal sehen was die nächsten Tage per google zu finden sein wird.

Das bei mir im übrigen keine Registryänderungen zu verzeichnen sind, schiebe ich mal ganz frech auf Spybot S&D, denn entsprechende Anfragen hab ich selbstverständlich mit "nein" beantwortet. Was wohl auch der Grund ist, warum ich überhaupt so "einfach" den Trojaner wieder loswerden konnte.

LG