Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Gefälschte Ebay Nachricht im Umlauf

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.09.2005, 14:19   #1
riesurf
 
Gefälschte Ebay Nachricht im Umlauf - Standard

Gefälschte Ebay Nachricht im Umlauf



Gefälschte Ebay-Rechnung im Umlauf
12. Sep 2005, 14:06 Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender vor dem neuen Trojaner TR/Dldr.Agent.uf. Dieser Trojaner tarnt sich, ähnlich wie seine Vorgänger, als Rechnung – diesmal von Ebay. Er wurde heute Nacht in deutscher Sprache an viele Anwender in ganz Deutschland verschickt.

Der 11.213 Bytes große Trojaner-Downloader TR/Dldr.Agent.uf hat keine eigene Versandroutine, sondern wurde direkt versendet. Sein Ziel ist es, von verschiedenen Webseiten einen Peer-To-Peer-Wurm auf den befallenen Rechner herunterzuladen. Zum gegenwärtigen Zeitpunkt befindet sich dieser Peer-To-Peer-Wurm noch in der genauen Analyse der Antivirenspezialisten.

Die angebliche Ebay-Rechnung hat folgendes Aussehen:

Von: kundensupport@ebay.de
Betreff: 7 Tage bis Ihre Kontosperrung
Dateianhang: Ebay-Rechnung.pdf.exe

Der Textbody ist eine raffiniert gestaltete HTML-E-Mail, die den Eindruck erweckt, sie komme von Ebay selbst. Es wird allen Anwendern empfohlen, diese E-Mails nicht zu öffnen, sondern sofort zu löschen und den jeweiligen Anti-Virenschutz auf den neuesten Stand zu bringen. Besonders Ebay-Kunden sollten sich von der warnenden Betreffzeile nicht zum Anklicken der E-Mail verleiten lassen, da die Gefahr besteht, dass weitere virulente Dateien aus dem Internet nachgeladen werden und das eigene System von den Schadprogrammen modifiziert wird.

Alt 12.09.2005, 16:48   #2
Lutz
 

Gefälschte Ebay Nachricht im Umlauf - Pfeil

Gefälschte Ebay Nachricht im Umlauf



Hier mal ein paar Infos aus der Symantec-Analyse:
Zitat:
Payload:
Downloads and executes remote files on the compromised computer.
Payload:
Lowers security on the compromised computer by modifying internet
security settings.

Symptoms
- --------
Presence of the following files:
%System%\ipwf.exe
%System%\drivers\winut.dat
ebay-rechnung.pdf.exe

Presence of the following registry entries: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"IPFW" =
"%System%\ipwf.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[CURRENT
FILE]" = "[CURRENT FILE]:*:Enabled:[CURRENT FILE]" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\ip
wf.exe" = "%System%\ipwf.exe:*:Enabled:ipwf"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\"WindowsShell
" = "1"

Technical Description
- ---------------------
Renamed from Trojan.Downloader.UC

Trojan.Schoeberl is a Trojan horse that downloads and executes remote
files.

This threat was spammed out by email as an attachment with the name
ebay-rechnung.pdf.exe

Once executed, the Trojan creates a copy of itself as %System%\ipwf.exe.

The Trojan also drops the file %System%\DRIVERS\winut.dat

The Trojan then creates the following registry entries so that it runs
every time Windows starts: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"IPFW" =
"%System%\ipwf.exe"

The Trojan also creates the following registry entries to add itself to
the Internet Connection Firewall bypass list:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[CURRENT
FILE]" = "[CURRENT FILE]:*:Enabled:[CURRENT FILE]" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\ip
wf.exe" = "%System%\ipwf.exe:*:Enabled:ipwf"

Next, the Trojan attempts to download a text file from the following
URLs:
[AUS SICHERHEITSGRÜNDEN EDITIERT !]

The text file contains encrypted URLs.

Next, the Trojans decrypts the URLs and saves them to the following file:
%System%\drivers\winut.dat

The Trojan the attempts to connect to the URls and download execute a
file.
At the time of writing the file downloaded is W32.Starimp (MCID 5800)

Next, the Trojan ends processes having one of the following name, some of
which may be security-related:
ZAPRO
zonealarm
armor2net
tpfw
NPROTECT
MpfService
kpf4gui
kpf4ss
firewall
ccapp
amon

Finally, the Trojan creates the following registry entry to store its
status: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\"WindowsShell
" = "1"
__________________

__________________

Alt 12.09.2005, 16:54   #3
Haui45
 
Gefälschte Ebay Nachricht im Umlauf - Standard

Gefälschte Ebay Nachricht im Umlauf



Hier hatten wir schon einen solchen Fall im Forum. Jedoch wurde die Datei von Kaspersky als sauber eingestuft. War die Datei wirklich sauber, "kaputt" oder hat sich der Spezialist bei Kaspersky vertan?
__________________

Alt 12.09.2005, 17:06   #4
Lutz
 

Gefälschte Ebay Nachricht im Umlauf - Standard

Gefälschte Ebay Nachricht im Umlauf



Scheint etwas kompliziert zu sein die ganze Geschichte...
Heute morgen 11:18 hatte ich eine Warnung von Symantec im Kasten, welche den gleichen Trojaner als Trojan.Downloader.UC meldete.
'Komischerweise' war da von Ebay bzw. einem PDF noch keine Rede.

Um 17:36 hatte ich dann die Meldung, aus der mein obiges Zitat ist, mit dem Hinweis dass die Malware nach Trojan.Schoeberl umbenannt wurde...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 12.09.2005, 18:45   #5
cronos
 
Gefälschte Ebay Nachricht im Umlauf - Standard

Gefälschte Ebay Nachricht im Umlauf



Auch Trendmicro hat ihn umbenannt, von

WORM_RECHNUNG.A in WORM_GOLDUN.A

Link

__________________
Only cronos endures

Alt 12.09.2005, 19:39   #6
cronos
 
Gefälschte Ebay Nachricht im Umlauf - Standard

Gefälschte Ebay Nachricht im Umlauf



Und ich muß mich etwas korrigieren:

Die Malware, die man sich zunächst einfängt ist folgende:

http://www.trendmicro.com/vinfo/viru...BE%2EA&VSect=P

Diese führt dann aber letzendlich zur Infektion mit dem im vorigen Link genannten.
__________________
--> Gefälschte Ebay Nachricht im Umlauf

Antwort

Themen zu Gefälschte Ebay Nachricht im Umlauf
analyse, bytes, dateien, daten, druck, e-mails, ebay, ebay.de, email, folge, gefahr, gefälschte, internet, klicke, kunde, löschen, neue, neuen, neues, rechner, schadprogramme, schutz, system, trojaner, umlauf, verschiedene, webseite, webseiten, öffnen



Ähnliche Themen: Gefälschte Ebay Nachricht im Umlauf


  1. Windows 7: ebay.de & ebay.com werden unerwünschte Werbung umgeleitet.
    Plagegeister aller Art und deren Bekämpfung - 29.08.2015 (13)
  2. Falsche Bestellbestätigung von Amazon.de im Umlauf
    Diskussionsforum - 04.06.2014 (0)
  3. Achtung! Spam-SMS stark im Umlauf.
    Smartphone, Tablet & Handy Security - 28.03.2014 (3)
  4. Exploit für Ruby on Rails im Umlauf
    Nachrichten - 10.01.2013 (0)
  5. RANSOMWARE Virus im Umlauf
    Log-Analyse und Auswertung - 25.11.2012 (4)
  6. Gefälschte SSL-Zertifikate wieder im Umlauf?
    Diskussionsforum - 01.08.2012 (0)
  7. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  8. 450.000 Mailadressen und Klartext-Passwörter im Umlauf
    Nachrichten - 12.07.2012 (0)
  9. Exploit für Windows-RDP-Lücke im Umlauf
    Nachrichten - 16.03.2012 (0)
  10. Neuer Facebook Trojaner in Umlauf!
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (1)
  11. Gefälschte Mails des Bundesfinanzministeriums in Umlauf
    Nachrichten - 09.05.2011 (0)
  12. Nächste Mail die im Umlauf ist
    Überwachung, Datenschutz und Spam - 14.04.2007 (5)
  13. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  14. Gefälschten E-Mails mit BKA-Absender im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 02.02.2007 (2)
  15. Gefälschte GEZ-Rechnungen im Umlauf!
    Plagegeister aller Art und deren Bekämpfung - 25.01.2007 (8)
  16. Neuer Wurm im Umlauf!!! Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 12.08.2004 (5)
  17. neuer trojan im Umlauf!
    Plagegeister aller Art und deren Bekämpfung - 17.02.2003 (5)

Zum Thema Gefälschte Ebay Nachricht im Umlauf - Gefälschte Ebay-Rechnung im Umlauf 12. Sep 2005, 14:06 Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender vor dem neuen Trojaner TR/Dldr.Agent.uf. Dieser Trojaner tarnt sich, ähnlich wie seine - Gefälschte Ebay Nachricht im Umlauf...
Archiv
Du betrachtest: Gefälschte Ebay Nachricht im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.