Trojaner-Board - Skype Virus. Aber was genau ist es?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Skype Virus. Aber was genau ist es? (https://www.trojaner-board.de/117657-skype-virus-genau.html)

Skype Virus. Aber was genau ist es?

Hallo,
gestern bekam ich von einer bekannten bei skype einen Link, ellenlang. Draufgeklickt, Firefox fragt ob ich die blabla.jpg.exe speichern will. .exe? Da war mir klar das was nicht stimmt. Auf Abbrechen geklickt.
Da die Dame von der der Link kommt gerade nicht online ist hab ich ihr per mail mitgeteilt dass sie da was hat, ihre Kontakte warnen sollte und wir schnellstens was tun müssen. Leider ist sie außer Landes und im Stress.

Was mich interessieren würde wäre also erst mal, was es denn war das mir ihr Skype da schicken wollte.
Der folgende Link ist es (dasgehtzueinemvirus) entfernen.
This is the link, probably not a good idea to click. If you want to, remove (dasgehtzueinemvirus).

hxxp://domenicspictu(dasgehtzueinemvirus)res.com/videos13.php?ref=facebook&w=abli&r(dasgehtzueinemvirus)esource=youtube&w=

Falls der Link noch aktiv ist wäre es prima wenn mir jemand sagen könnte was für ein Schädling das ist.

Danke fürs Lesen.

1. Sobald sie irgendwie Zeit findet geh ich die Logliste mit ihr durch
2. Kann mein Computer das Ding abbekommen haben obwohl ich auf abbrechen geklickt habe? (Der Firefox war leicht veraltet also wer weiß).

Viele Grüße
Florian

Der Link scheint nicht mehr zu funktionieren, vielleicht geht er bei jemand anderem oder in ein paar Stunden wieder. Könnte sein dass die Server jeweils nur kurz benutz werden.
Bin weiterhin für jegliche Hinweise dankbar.
Soll ich den Admin der Seite darauf hinweisen dass sein Server gehackt wurde?

Ich bekomm da nichts mehr. Also keine .jpg.exe
Wenn du die exe nicht ausgeführt hast sollte auch nichts passiert sein. Aber wenn du willst, machst du erstmal Scans mit Malwarebytes und ESET

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo, hier die Logs von meinem Rechner, hab ESET und dann Malwarebytes laufen lassen.
Sorry dass die option delete found bei ESET aktiv war. Hat aber eh nix gefunden.

Malwarebytes:

Code:

 Malwarebytes Anti-Malware (Trial) 1.61.0.1400

www.malwarebytes.org
 

Database version: v2012.06.25.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

***user1 :: ***ET [administrator]
 

Protection: Disabled
 

25.06.2012 13:23:32

mbam-log-2012-06-25 (13-23-32).txt
 

Scan type: Full scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM

Scan options disabled: P2P

Objects scanned: 348633

Time elapsed: 29 minute(s), 11 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Code:

 ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=b7f4ca81efe4384d8992d80e4b81e5c4

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-06-25 10:43:49

# local_time=2012-06-25 12:43:49 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1280 16777215 100 0 11553711 11553711 0 0

# compatibility_mode=5893 16776573 100 94 249196 92245612 0 0

# compatibility_mode=8192 67108863 100 0 211 211 0 0

# scanned=139861

# found=0

# cleaned=0

# scan_time=5266

Sieht für mich sauber aus.

Viel interessanter werden die Logs von der Dame deren Rechner das Virus versendet, kann ich die einfach hier in dem Thread einstellen sobald ich die Logs habe? (Sie kann kein Deutsch und ist im Ausland, viel andere Möglichkeiten für Hilfe bleiben ihr also nicht)

Danke schon mal fürs Lesen und helfen.

Neuer Link möglicherweise wieder zu nem Virus:
(thisisavirus) entfernen
hxxp://(thisisavirus)goo.gl/YQfD6?=
Kann das jemand prüfen?

Ja kannst auch ausnahmsweise hier in diesen Strang posten.
Normalerweise machen wir pro Rechner einen separaten Strang, aber eigentlich geht es hier ja nicht wirklich um deinen Rechner :)

Kannst du bitte die Datei von dem Link speichern zur analyse? Ich bin zu feige :)
Falls noch nicht gemerkt, neuer Link unten in der vorherigen Nachricht. Vielleicht geht er noch.

Ja mach ich gerade. Virustotal werkelt gerade bei dieser Datei. Ich poste den Link wenn er durch ist und bei Threatexpert hau ich diese Datei auch mal gleich rein. Die Analyse dort dauert aber länger.

Code:

SHA256:         40ab1c6e402b1af4897dfc9757b75adf149e8d71e03749834a0778758ea122a1

SHA1:                 2bbeac944a66b6c50863769029d153f315e49a45

MD5:                 40124e94226b667bca41e5c2c0647809

File size:         143.0 KB ( 146436 bytes )

File name:         IMG_66655127315362-IMG-www.facebook.com.exe.vir

Virustotal hat zwei Funde:

Comodo Worm win 32 pushbot A

Super anti spyware trojan agent gen fake folder

Hast du vermutlich auch angezeigt bekommen?

Ich hab bei der Sache ein seltsames Gefühl. Wäre toll wenn wer die Datei speichern und unschädlich (gezippt oder sowas) speichern könnte.

P.S. das .vir nach .exe zeigt virustotal bei mir nicht an. Gleiche datei oder hängt das board die endung an

Ja. Du kannst bei VT die Datei über die Prüfsumme auch suchen lassen.
Einfach zB die md5 oder sha1 bei search eingeben und suchen lassen ^^

Zitat:

Ich hab bei der Sache ein seltsames Gefühl. Wäre toll wenn wer die Datei speichern und unschädlich (gezippt oder sowas) speichern könnte.

Ich hab sie ja als.vir und nicht als .exe abgespeichert. Bei Windows ist das so toll, das die Ausführbarkeit einer Datei (fast) allein von der Dateiendung abhängig ist :rofl:
Unter Linux und andere unixoiden müsste ich sie erstmal nach dem Download mit chmod +x ausführbar machen aber ich denke das weiß du sicherlich mit deinem Nick ;)

Edit: Hier ist die Analyse von Threatexpert => http://www.threatexpert.com/report.a...41e5c2c0647809

Na das nenn ich mal fette beute. Mal genau durchgehen was es gefunden hat.
Der Threatexpert analyse nach ist es ja relativ direkt in der funktion. Kommt halt darauf an was es alles nachlädt. Ich hoffe sie hat bald Zeit für die Logs. Einfach nicht moralisch ok so Zeug vom Rechner versenden zu lassen und nichts dagegen zu tun.
Die Liste mit den angeforderten Hostnamen ist interessant. Viele IT Foren. Wozu?

Ist dir noch was spezielles zu dem Trojaner aufgefallen?

Nö, hab keine Zeit den jetzt auszuweiden. Hab den nur bei VT und Threatexpert durchgejagt :D

Hab das Ding dank dem Markus (vom viren einsenden link) jetzt als .rar . Mal bei Gelegenheit unter AIX sezieren. "Leider" sind Viren nicht mein Fachgebiet, eher HPC.
Poste die Logs sobald sich die Dame mal dazu bequemt. :)

Zitat:

Mal bei Gelegenheit unter AIX sezieren.

Sitzt du an einer AIX-Workstation? :wtf: :eek:

Momentan sitz ich an nem Windows PC, Skype hab ich noch nicht versucht unter AIX zum laufen zu bringen. Aber ganz in der nähe steckt einiges an Power-Kisten, sogar blades.

Ok :D

Hier sieh mal worüber ich eben gestolpert bin beim Studieren der unbeantworteten Themen => http://www.trojaner-board.de/117778-...-657066-a.html

;)

Ich hab die unbestimmte Vorahnung dass sich diese Threads häufen werden. Der Rechner meiner Bekannten zählt also zu den early adopters.
Nichts mehr von ihr gelesen, vll. ist der Rechner nicht mehr zu gebrauchen... ausser zum automatisch Spam versenden.
Ich melde mich wenn ich was neues lese.