Trojaner-Board - Scam_Mail deutsch hoher Qualität Malware nicht detektierbar

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Scam_Mail deutsch hoher Qualität Malware nicht detektierbar (https://www.trojaner-board.de/62787-scam_mail-deutsch-hoher-qualitaet-malware-detektierbar.html)

Scam_Mail deutsch hoher Qualität Malware nicht detektierbar

Guten Tag die Damen und Herren,

ich bekam eben folgende 2 Mails parallel.

From: "Lindsey Schulz" <hplc@westernanalytical.com>
To: <a.sanchez@ .de>
Subject: Srayfriends Anmeldung ID 87558

Sehr geehrte Damen und Herren,

vielen Dank fur Ihre Anmeldung bei stayfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice
entschieden. 373,96- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Wir mailen Ihnen
alle Antworten auf Ihre Suchanfrage 2 Mal woechentlich zu, Sie koennen sich auch zu jeder Zeit einloggen und den aktuellen Stand einsehen. Entnehmen Sie Ihre Rechnung und den Zugang zu Ihrem Profil den unten angefuehrten
Anhang. Bitte diesen genauestens durchlesen und bei einer Unstimmigkeit uns kontaktieren. Zum Lesen wird kein
zusaetzliches Programm benoetigt.Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung durchgefuehrt wurde, fuehren Sie unverzueglich, den in dem Anhang aufgefuehrten Abmeldevorgang aus.Der Widerspruch ist nach unseren AGB's innerhalb von 7 Tagen schriftlich zulaessig! Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt.

mit freundlichen Gruessen

StayFriends GmbH
Postanschrift
StayFriends GmbH
Neustaedter Kirchenplatz 1a
D-91054 Erlangen

USt-IdNr.
USt-IdNr. DE228247780
Amtsgericht Fuerth HRB 10669

sowie

From: "Jodi Shaw" <dwriverfolkm@riverfolk.org>
To: <a.saahernandez@ .de>
Subject: Amtsgericht 513496

Sehr geehrte Damen und Herren,

vielen Dank fur Ihre Anmeldung bei stayfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice
entschieden. 112,19- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Wir mailen Ihnen
alle Antworten auf Ihre Suchanfrage 2 Mal woechentlich zu, Sie koennen sich auch zu jeder Zeit einloggen und den aktuellen Stand einsehen. Entnehmen Sie Ihre Rechnung und den Zugang zu Ihrem Profil den unten angefuehrten
Anhang. Bitte diesen genauestens durchlesen und bei einer Unstimmigkeit uns kontaktieren. Zum Lesen wird kein
zusaetzliches Programm benoetigt.Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung durchgefuehrt wurde, fuehren Sie unverzueglich, den in dem Anhang aufgefuehrten Abmeldevorgang aus.Der Widerspruch ist nach unseren AGB's innerhalb von 7 Tagen schriftlich zulaessig! Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt.

mit freundlichen Gruessen

StayFriends GmbH
Postanschrift
StayFriends GmbH
Neustaedter Kirchenplatz 1a
D-91054 Erlangen

USt-IdNr.
USt-IdNr. DE228247780
Amtsgericht Fuerth HRB 10669

Im Anhang zwei Dateien gezipped. Name Rechnung.zip Inhalt Rechnung.scr

Meines Erachtens ganz klar Malware und zwar in einer mir unbekannten sehr guten Qualität.

Da ich neugierig/dumm war. Entpackte ich den scr auf die Platte um nen Virenscann drüber laufen zu lassen.

Er zeigte mir nichts an.

Meine Firma benutzt Clam Antivirus, ebenfalls negativ

Kasperky online zeigt ebenfalls nichts an.

Dummerweise wollte ich den Virenscan mit rechtsklick aktivieren und verutschte in der Zeile bei Scannen auf Bedrohung und aktivierte Test. Dieses Test steht leider fuer "teste den Screensaver" und somit hatte ich mir das Ding installiert.

Ich gehe jetzt davon aus, hier an einem infizierten Rechner zu sitzen. Wuerde aber gerne wissen was ich hab.

Hat jemand eine Idee wo ich das File sonst noch prüfen kann ?

Danke fuer Eure Hilfe

Zitat:

Zitat von Radiocontrol (Beitrag 384898)

Hat jemand eine Idee wo ich das File sonst noch prüfen kann ?

Das scheint ein neuer Vorbote für eine Spamwelle zu werden. ;)
Hab sowas heute auch auf dem Mail-Server gefunden.

Versuche die Datei mal hier zu überprüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

okay hier die Antworten. Ich habe eine Datei mit der Endung 2 versehen muessen.

2 Fragen habe ich nun :)

1) Ich schreibe gerade an meiner Master-Thesis und wollte ein Worddokument mit nach Hause nehmen um dort weiter zu schreiben. Ungefährlich ?

2) Was tun :)

Ps.... Ich wollte die Antwort gerne im PDF anfügen allerdings meckert er wegen der Dateigroesse :) Insoweit muss es hier gehen

AhnLab-V3 2008.10.24.3 2008.10.24 -
AntiVir 7.9.0.7 2008.10.24 TR/Dldr.iBill.BE
Authentium 5.1.0.4 2008.10.24 -
Avast 4.8.1248.0 2008.10.24 -
AVG 8.0.0.161 2008.10.24 -
BitDefender 7.2 2008.10.24 -
CAT-QuickHeal 9.50 2008.10.24 -
ClamAV 0.93.1 2008.10.24 -
DrWeb 4.44.0.09170 2008.10.24 -
eSafe 7.0.17.0 2008.10.23 -
eTrust-Vet 31.6.6167 2008.10.24 -
Ewido 4.0 2008.10.24 -
F-Prot 4.4.4.56 2008.10.24 -
F-Secure 8.0.14332.0 2008.10.24 -
Fortinet 3.113.0.0 2008.10.24 -
GData 19 2008.10.24 Trojan.Agent.AKTB
Ikarus T3.1.1.44.0 2008.10.24 -
K7AntiVirus 7.10.506 2008.10.24 -
Kaspersky 7.0.0.125 2008.10.24 -
McAfee 5414 2008.10.24 -
Microsoft 1.4005 2008.10.24 -
NOD32 3552 2008.10.24 Win32/Agent.OIT
Norman 5.80.02 2008.10.23 -
Panda 9.0.0.4 2008.10.24 -
PCTools 4.4.2.0 2008.10.24 -
Prevx1 V2 2008.10.24 -
Rising 21.00.42.00 2008.10.24 -
SecureWeb-Gateway 6.7.6 2008.10.24 Trojan.Dldr.iBill.BE
Sophos 4.34.0 2008.10.24 -
Sunbelt 3.1.1749.1 2008.10.23 -
Symantec 10 2008.10.24 -
TheHacker 6.3.1.0.126 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.24 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.24.1436 2008.10.24 -
VirusBuster 4.5.11.0 2008.10.23 -
weitere Informationen
File size: 31744 bytes
MD5...: 82f27fdfed606723f4b58f03f80fc76d
SHA1..: b174410e6d51f643165c09a24090d55f958083b9
SHA256: 04d6a734dd626b0afcebe16c9f783affa9d37a25a40ff830e7f545b7552333b3
SHA512: 8cc9f15307b265b02b298c66ae8334047cd022465cb169feb1ffea1400da32ff
e555dbabefc6246271e236223e497d4effbc1d90af82c5383a3ef268f4ab74cd
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
VXD Driver (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4011cb
timedatestamp.....: 0x4873897f (Tue Jul 08 15:36:31 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x116e 0x1200 2.65 eb0f6d02d4eef405a98249f6db4e6a94
.rdata 0x3000 0xe42 0x1000 4.94 50c8a61633da369bd036ba2807312e4d
.data 0x4000 0x15011 0x5200 7.22 9819802cfa54cdf15c83f0e7d984f4de
.rsrc 0x1a000 0x269 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
.reloc 0x1b000 0x474 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 9 imports )
> COMCTL32.DLL: ImageList_LoadImageA, ImageList_EndDrag, ImageList_GetIconSize, ImageList_DragShowNolock, ImageList_BeginDrag, ImageList_GetImageRect, ImageList_GetImageInfo, ImageList_AddMasked, InitCommonControls, ImageList_Destroy, ImageList_DrawIndirect, ImageList_Remove, ImageList_Draw
> GDI32.DLL: GetClipBox, SetTextColor, ClearBrushAttributes, GetPixel, GetDCOrgEx, ClearBitmapAttributes, AddFontResourceA, BitBlt, AbortPath, CancelDC, GetCurrentPositionEx, AddFontResourceTracking, AddFontResourceW, CreateSolidBrush, GetBrushOrgEx, CloseMetaFile, CopyMetaFileA
> USER32.DLL: GetDC, DrawTextW, DrawIconEx, LoadMenuA, AlignRects, InsertMenuA, DrawTextA, AppendMenuW, GetDlgItem, AppendMenuA, GetWindowTextLengthA
> KERNEL32.DLL: ReadConsoleA, CopyFileExA, OpenFile, SetLastError, GetConsoleMode, GetComputerNameA, WriteFile, DeleteFileW, ReadFile, Sleep, CreateThread, GetFileSize, GetFileTime, GlobalFree, CreateDirectoryA
> GDI32.DLL: CloseFigure, CopyMetaFileA, BeginPath, AddFontResourceExW, DeleteDC, CreateSolidBrush, ExcludeClipRect, AddFontMemResourceEx, SetTextColor, GetBrushOrgEx
> GDI32.DLL: AddFontResourceA, GetCurrentPositionEx, GetPixel, GetPixel, BitBlt, AddFontResourceW, GetClipBox, GetDCOrgEx, AddFontResourceExA, GetBrushOrgEx, AbortPath, AddFontMemResourceEx, AddFontResourceTracking, AddFontResourceExW
> KERNEL32.DLL: GlobalFree, GetConsoleMode, OpenFileMappingA, CreateProcessA, CopyFileW, GetLastError, GetFileSize, FindFirstFileA, GetCommandLineA, CreateDirectoryA, SetLastError, CopyFileA, ExitThread
> KERNEL32.DLL: CopyFileA, DeleteFileA, ExitThread, GlobalFree, CreateDirectoryA, CopyFileExA, Sleep, GetStdHandle, WriteFile, OpenFileMappingA, OpenFile, DeleteFileW, GetCPInfo, CreateProcessA, ReadFile, GetFileTime, GetCommandLineA, FindFirstFileA, ReadConsoleA
> GDI32.DLL: GetCurrentPositionEx, GetBrushOrgEx, AddFontResourceTracking, ExtTextOutA, GetClipBox, BitBlt, DeleteDC, AddFontResourceExW, GetBitmapBits, AddFontResourceW, DeleteObject, GetDCOrgEx, GetPixel, CreateSolidBrush, CloseMetaFile, ClearBrushAttributes, SetTextColor, CancelDC

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=82f27fdfed606723f4b58f03f80fc76d

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.24.3 2008.10.24 -
AntiVir 7.9.0.7 2008.10.24 TR/Dldr.iBill.BE
Authentium 5.1.0.4 2008.10.24 -
Avast 4.8.1248.0 2008.10.24 -
AVG 8.0.0.161 2008.10.24 -
BitDefender 7.2 2008.10.24 -
CAT-QuickHeal 9.50 2008.10.24 -
ClamAV 0.93.1 2008.10.24 Trojan.Agent-57253
DrWeb 4.44.0.09170 2008.10.24 -
eSafe 7.0.17.0 2008.10.23 -
eTrust-Vet 31.6.6167 2008.10.24 -
Ewido 4.0 2008.10.24 -
F-Prot 4.4.4.56 2008.10.24 -
F-Secure 8.0.14332.0 2008.10.24 -
Fortinet 3.113.0.0 2008.10.24 -
GData 19 2008.10.24 Trojan.Agent.AKTB
Ikarus T3.1.1.44.0 2008.10.24 -
K7AntiVirus 7.10.506 2008.10.24 -
Kaspersky 7.0.0.125 2008.10.24 -
McAfee 5414 2008.10.24 -
Microsoft 1.4005 2008.10.24 -
NOD32 3552 2008.10.24 Win32/Agent.OIT
Norman 5.80.02 2008.10.23 -
Panda 9.0.0.4 2008.10.24 -
PCTools 4.4.2.0 2008.10.24 -
Prevx1 V2 2008.10.24 -
Rising 21.00.42.00 2008.10.24 -
SecureWeb-Gateway 6.7.6 2008.10.24 Trojan.Dldr.iBill.BE
Sophos 4.34.0 2008.10.24 -
Sunbelt 3.1.1749.1 2008.10.23 -
Symantec 10 2008.10.24 -
TheHacker 6.3.1.0.126 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.24 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.24.1436 2008.10.24 -
VirusBuster 4.5.11.0 2008.10.24 -
weitere Informationen
File size: 31744 bytes
MD5...: 82f27fdfed606723f4b58f03f80fc76d
SHA1..: b174410e6d51f643165c09a24090d55f958083b9
SHA256: 04d6a734dd626b0afcebe16c9f783affa9d37a25a40ff830e7f545b7552333b3
SHA512: 8cc9f15307b265b02b298c66ae8334047cd022465cb169feb1ffea1400da32ff
e555dbabefc6246271e236223e497d4effbc1d90af82c5383a3ef268f4ab74cd
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
VXD Driver (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4011cb
timedatestamp.....: 0x4873897f (Tue Jul 08 15:36:31 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x116e 0x1200 2.65 eb0f6d02d4eef405a98249f6db4e6a94
.rdata 0x3000 0xe42 0x1000 4.94 50c8a61633da369bd036ba2807312e4d
.data 0x4000 0x15011 0x5200 7.22 9819802cfa54cdf15c83f0e7d984f4de
.rsrc 0x1a000 0x269 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
.reloc 0x1b000 0x474 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 9 imports )
> COMCTL32.DLL: ImageList_LoadImageA, ImageList_EndDrag, ImageList_GetIconSize, ImageList_DragShowNolock, ImageList_BeginDrag, ImageList_GetImageRect, ImageList_GetImageInfo, ImageList_AddMasked, InitCommonControls, ImageList_Destroy, ImageList_DrawIndirect, ImageList_Remove, ImageList_Draw
> GDI32.DLL: GetClipBox, SetTextColor, ClearBrushAttributes, GetPixel, GetDCOrgEx, ClearBitmapAttributes, AddFontResourceA, BitBlt, AbortPath, CancelDC, GetCurrentPositionEx, AddFontResourceTracking, AddFontResourceW, CreateSolidBrush, GetBrushOrgEx, CloseMetaFile, CopyMetaFileA
> USER32.DLL: GetDC, DrawTextW, DrawIconEx, LoadMenuA, AlignRects, InsertMenuA, DrawTextA, AppendMenuW, GetDlgItem, AppendMenuA, GetWindowTextLengthA
> KERNEL32.DLL: ReadConsoleA, CopyFileExA, OpenFile, SetLastError, GetConsoleMode, GetComputerNameA, WriteFile, DeleteFileW, ReadFile, Sleep, CreateThread, GetFileSize, GetFileTime, GlobalFree, CreateDirectoryA
> GDI32.DLL: CloseFigure, CopyMetaFileA, BeginPath, AddFontResourceExW, DeleteDC, CreateSolidBrush, ExcludeClipRect, AddFontMemResourceEx, SetTextColor, GetBrushOrgEx
> GDI32.DLL: AddFontResourceA, GetCurrentPositionEx, GetPixel, GetPixel, BitBlt, AddFontResourceW, GetClipBox, GetDCOrgEx, AddFontResourceExA, GetBrushOrgEx, AbortPath, AddFontMemResourceEx, AddFontResourceTracking, AddFontResourceExW
> KERNEL32.DLL: GlobalFree, GetConsoleMode, OpenFileMappingA, CreateProcessA, CopyFileW, GetLastError, GetFileSize, FindFirstFileA, GetCommandLineA, CreateDirectoryA, SetLastError, CopyFileA, ExitThread
> KERNEL32.DLL: CopyFileA, DeleteFileA, ExitThread, GlobalFree, CreateDirectoryA, CopyFileExA, Sleep, GetStdHandle, WriteFile, OpenFileMappingA, OpenFile, DeleteFileW, GetCPInfo, CreateProcessA, ReadFile, GetFileTime, GetCommandLineA, FindFirstFileA, ReadConsoleA
> GDI32.DLL: GetCurrentPositionEx, GetBrushOrgEx, AddFontResourceTracking, ExtTextOutA, GetClipBox, BitBlt, DeleteDC, AddFontResourceExW, GetBitmapBits, AddFontResourceW, DeleteObject, GetDCOrgEx, GetPixel, CreateSolidBrush, CloseMetaFile, ClearBrushAttributes, SetTextColor, CancelDC

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=82f27fdfed606723f4b58f03f80fc76d

Hallo Radiocontrol
[edit]Du hast ja schon ein Ergebnis[/edit]

Zitat:

Zitat von Radiocontrol (Beitrag 384914)

2 Fragen habe ich nun :)

1) Ich schreibe gerade an meiner Master-Thesis und wollte ein Worddokument mit nach Hause nehmen um dort weiter zu schreiben. Ungefährlich ?

Auf jeden Fall solltest du die Thesis irgendwo zwischensichern!
Mit nach Hause kannst du sie auch nehmen, Worddokumente sind bei den Virenprogrammierern nicht ganz so beliebte Ziele, daher sollte es sicher sein.

Zitat:

2) Was tun :)

Die Datei welche du dort ausgeführt hast sollte nicht der einzige Trojaner sein, er dient nur dazu andere (unbekannte) Malware nachzuladen.
TR/Dldr.iBill.BC - Summary

Ich würde an deiner Stelle aber mal den Rechner hiermit prüfen:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

[edit] Sunny ist ja doch aktiv.

Zitat:

Zitat von blow-in (Beitrag 384926)

[edit] Sunny ist ja doch aktiv.

Natürlich ;), aber deine These hatte auch Bestand, du hättest das ruhig stehen lassen können mit den Makros. ;)

Gruß
Sunny

So jetzt bin ich auch wieder auf Arbeit :)

Spybot Search & Destroy findet nichts

Im Zuge der Onlinedurchsuchung (welche noch andauert) fand McAfee bisher
6x Downloader AAP
Kaspersky Scan Log fand dementspechend nichts
kaspersky.pdf

Blacklight findet nichts
10/24/08 17:29:27 [Info]: BlackLight Engine 1.0.67 initialized
10/24/08 17:29:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/24/08 17:29:28 [Note]: 7019 4
10/24/08 17:29:28 [Note]: 7005 0
10/24/08 17:29:35 [Note]: 7006 0
10/24/08 17:29:35 [Note]: 7011 1276
10/24/08 17:29:36 [Note]: 7026 0
10/24/08 17:29:36 [Note]: 7026 0
10/24/08 17:29:46 [Note]: FSRAW library version 1.7.1024
10/24/08 18:07:16 [Note]: 7007 0

Gmer sagt mir folgendes
(log in pdf konvertiert und hier hochgeladen)
gmer.pdf

Wird direkt beim ausführen des trojanischen Pferdes (die scr Datei) ein Rootkit installiert oder gibt es da gewisse Bedingungen/Anforderungen?