Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Msn Bildergallerylink Virus (https://www.trojaner-board.de/71107-msn-bildergallerylink-virus.html)

MasterDave 16.03.2009 21:27
Msn Bildergallerylink Virus
 
Liste der Anhänge anzeigen (Anzahl: 1)
Guten Abend Allerseits


Ich bin seit heute am Trojaner Board! *stolz bin*


Ich hab schon einiges gelesen bevor ich dieses Thema eröffnet habe.

Also es handelt sich um einen berüchtigten MSN Virus, von dem man den Downloadlink im zugefügten Screenhot sieht. Jetzt werdet ihr euch denken, ok dann nicht klicken. Ist ja selbstverständlich.

Ich würde gerne wissen, was es aufsicht hat mit diesem Virus (eigentlich Wurm).

Info: Laut dem Forum "gofeminin.de" handelt es sich um eine Variante des Mydoom Worm. Der Wurm wird über eine Seite, von der sich die Domainendung unregelmäßig ändert über das MSN Fenster verteilt. Der Benutzer des verseuchten PCs, kann nichts tun. Der Link hat in den Namen des Gegenübers von Benutzer, der den Virus hat

Beispiel:

User A hat den Virus und chattet mit User B

Im Fenster bei User B erscheint in unregelmäßigen Abständen
ein Link der meint, dass dort eine Fotogallery von User B sei. Klickt diesr drauf erscheint ein Downloadfenster, was den Download einer exe. Datei erfragt. Dieser Virus verlangsamt laut einer Kollegin auch in PC und bringt den PC sogar zum Absturz oder ist mitverantwortlich.

Der Virus soll auch Programme wie Firewall, AntiVir bearbeiten und ausschalten. Sogar die Updates der Sicherheitssoftware sollen geblockt werden.

Ich habe gelesen, dass es bereits von Microsoft eine Software gibt, die diesen Wurm entfernt.


Ist dieser Virus jemanden schon untergekommen?
Er soll sehr verbreitet sein.

Noch kurz: Ich hab den Virus nicht, ich wollte nur Auskunft

mfg David

john.doe 16.03.2009 21:49
Hallo und :hallo:

Wer den Link anklickt, lädt folgende Datei:
Code:
Datei IMG000230090310-GIF.EXE empfangen 2009.03.16 21:31:56 (CET)
Status:    Beendet
Ergebnis: 3/39 (7.7%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.101        2009.03.16        Riskware.Win32.CeeInject!IK
AhnLab-V3        5.0.0.2        2009.03.16        -
AntiVir        7.9.0.116        2009.03.16        -
Authentium        5.1.0.4        2009.03.16        -
Avast        4.8.1335.0        2009.03.16        -
AVG        8.0.0.237        2009.03.16        -
BitDefender        7.2        2009.03.16        -
CAT-QuickHeal        10.00        2009.03.16        -
ClamAV        0.94.1        2009.03.16        -
Comodo        1060        2009.03.16        -
DrWeb        4.44.0.09170        2009.03.16        -
eSafe        7.0.17.0        2009.03.15        -
eTrust-Vet        31.6.6388        2009.03.09        -
F-Prot        4.4.4.56        2009.03.15        -
F-Secure        8.0.14470.0        2009.03.16        -
Fortinet        3.117.0.0        2009.03.16        -
GData        19        2009.03.16        -
Ikarus        T3.1.1.45.0        2009.03.16        VirTool.Win32.CeeInject
K7AntiVirus        7.10.673        2009.03.16        -
Kaspersky        7.0.0.125        2009.03.16        -
McAfee        5555        2009.03.16        -
McAfee+Artemis        5555        2009.03.16        -
McAfee-GW-Edition        6.7.6        2009.03.16        -
Microsoft        1.4405        2009.03.16        VirTool:Win32/CeeInject.gen!J
NOD32        3938        2009.03.16        -
Norman        6.00.06        2009.03.16        -
nProtect        2009.1.8.0        2009.03.16        -
Panda        10.0.0.10        2009.03.16        -
PCTools        4.4.2.0        2009.03.16        -
Prevx1        V2        2009.03.16        -
Rising        21.21.02.00        2009.03.16        -
Sophos        4.39.0        2009.03.16        -
Sunbelt        3.2.1858.2        2009.03.15        -
Symantec        1.4.4.12        2009.03.16        -
TheHacker        6.3.3.0.283        2009.03.16        -
TrendMicro        8.700.0.1004        2009.03.16        -
VBA32        3.12.10.1        2009.03.16        -
ViRobot        2009.3.16.1650        2009.03.16        -
VirusBuster        4.6.5.0        2009.03.16        -
weitere Informationen
File size: 99840 bytes
MD5...: 5c4556b9b396760ca0111703a199a6ca
SHA1..: 475085545725f97e956d8a5813e7dbaa4f9e2242
SHA256: 524418dcfc7555ebdc355733afe700fd6b74ebec440cbb7aadc7219fcd798ce4
SHA512: 2218f2222ec0b7c3881da58930d5037324e051cc35936b8f600790e0932c6941
523a3c815136f84ccddba1ecd6de634f9ec08d0322ff1734149cd0ccc1f37696
ssdeep: 3072:2nj9jtfU+INndIc0Je5GlQorIz28qtzJGP0L:2jbeiytKzJGk
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x645c
timedatestamp.....: 0x41107bc1 (Wed Aug 04 06:01:37 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x992c 0x9a00 6.57 17a6fbe18a834b6f3462304415675d36
.data 0xb000 0x1be4 0x400 4.25 99858e86526942a66950c7139f78a725
.rsrc 0xd000 0xe3bc 0xe400 6.82 a558275c2285b792d93fc473a4889399

( 6 imports )
> ADVAPI32.dll: FreeSid, AllocateAndInitializeSid, EqualSid, GetTokenInformation, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA, RegSetValueExA, RegQueryValueExA, RegCreateKeyExA, RegQueryInfoKeyA
> KERNEL32.dll: LocalFree, LocalAlloc, GetLastError, GetCurrentProcess, lstrlenA, GetModuleFileNameA, GetSystemDirectoryA, _lclose, _llseek, _lopen, WritePrivateProfileStringA, GetWindowsDirectoryA, CreateDirectoryA, GetFileAttributesA, ExpandEnvironmentStringsA, lstrcpyA, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, IsDBCSLeadByte, GetShortPathNameA, GetPrivateProfileStringA, GetPrivateProfileIntA, lstrcmpiA, RemoveDirectoryA, FindClose, FindNextFileA, DeleteFileA, SetFileAttributesA, lstrcmpA, FindFirstFileA, FreeResource, GetProcAddress, LoadResource, SizeofResource, FindResourceA, lstrcatA, CloseHandle, WriteFile, SetFilePointer, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, SetCurrentDirectoryA, GetTempFileNameA, ExitProcess, CreateFileA, LoadLibraryExA, lstrcpynA, GetVolumeInformationA, FormatMessageA, GetCurrentDirectoryA, GetVersionExA, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetTempPathA, GetSystemInfo, CreateMutexA, SetEvent, CreateEventA, CreateThread, ResetEvent, TerminateThread, GetDriveTypeA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ReadFile, LoadLibraryA, GetDiskFreeSpaceA, MulDiv, EnumResourceLanguagesA, FreeLibrary, LockResource
> GDI32.dll: GetDeviceCaps
> USER32.dll: ExitWindowsEx, wsprintfA, CharNextA, CharUpperA, CharPrevA, SetWindowLongA, GetWindowLongA, CallWindowProcA, DispatchMessageA, MsgWaitForMultipleObjects, PeekMessageA, SendMessageA, SetWindowPos, ReleaseDC, GetDC, GetWindowRect, SendDlgItemMessageA, GetDlgItem, SetForegroundWindow, SetWindowTextA, MessageBoxA, DialogBoxIndirectParamA, ShowWindow, EnableWindow, GetDlgItemTextA, EndDialog, GetDesktopWindow, MessageBeep, SetDlgItemTextA, LoadStringA, GetSystemMetrics
> COMCTL32.dll: -
> VERSION.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=5c4556b9b396760ca0111703a199a6ca' target='_blank'>http://www.threatexpert.com/report.aspx?md5=5c4556b9b396760ca0111703a199a6ca</a>
packers (F-Prot): CAB
Die muss relativ neu sein, da sie kaum ein AVP erkennt.

Ich habe sie an Avira und MalwareBytes geschickt. Die Analyse von Avira kann unter folgendem Link eingesehen werden: Avira Antivirus Solutions

ciao, andreas

MasterDave 17.03.2009 14:38
hi

ok is klar

ich hab da so einen Verdacht, dass sich der auch oft etwas ändert

das könnte darauf zurück führen, dass er noch nicht so bekannt ist
Avira AntiVir hat den Wurm nicht beim Download gefunden, sonst hätte meine Kollegin sofort ne Meldung bekommen. Sie wusste nichts von dem Teil auf ihrem PC

handball10 17.03.2009 15:50
So,

ich hab die Datei mal zur Analyse bei Kaspersky geschickt.
Antwort:

Zitat:
Hello,

00230090310-GIF.EXE - Backdoor.Win32.IRCBot.iaw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Gruß
Handball10

john.doe 17.03.2009 16:29
Auf Bot hätte ich auch eher getippt, weil in letzter Zeit über MSN nur noch die Pest verbreitet wird. Habe aber auch noch das hier gefunden.

Zitat:
VirTool.Win32.CeeInject or CeeInject, is a dangerous Trojan or virus creation tool. CeeInject may be used by other malware to insert code into Windows processes where your system could be compromised or programmed to carryout malicious tasks. CeeInject or VirTool.Win32.CeeInject could be used by other malicious malware such as Worms, Trojans and even Rootkits.
ciao, andreas

Angel21 17.03.2009 16:34
Da kann ich mich ja als MSN Nutzer glücklich fühlen noch nie sowas gehabt zu haben :)

derDon 17.05.2009 12:16
Mal eine Frage zum Thema,

einer meiner MSN Kontakte schickt mir hin und wieder Links die so, oder so ähnlich aufgebaut sind. Natürlich klicke ich nicht drauf Brainexe sei dank.

Aber ich halte hin und wieder eine Cam unterhaltung mit der entsprechenden Person.
Gehe ich richtig in der annahme das der Virus sich so nicht auf mein System übertragen kann, sondern nur dann wenn ich auf den Link klicken würde?


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131