Beispiel neuer Trojaner

Hier wird Dir geholfen, Viren, Trojaner und andere unerwünschte Programme von Deinem Rechner zu entfernen.
Gesperrt
Benutzeravatar
beate67
Beiträge: 1199
Registriert: So 24. Aug 2014, 15:16
Wohnort: am wunderschönen Niederrhein

Re: Beispiel neuer Trojaner

Beitrag von beate67 »

Dankeschön! VM war ja klar :D aber RE eben nicht.

Gruß, Beate :)
"Wenn du eine weise Antwort willst, mußt du vernünftig fragen." (Johann Wolfgang von Goethe)
boston
Beiträge: 44
Registriert: Di 23. Sep 2014, 18:36

Re: Beispiel neuer Trojaner

Beitrag von boston »

Mal wieder ne frische Mail.
Im Anhang eine gezippte scr-Datei.
http://abload.de/thumb/auftragv6lht.png
https://www.virustotal.com/en/file/eb88 ... /analysis/" onclick="window.open(this.href);return false;

Diese Datei läuft offensichtlich nicht "richtig", wenn Wireshark gestartet ist.

Symptome im FRST-Log:

HKU\S-1-5-21-2826079578-1145344860-2808212919-1013\...\Run: [Packhtml] => C:\Dokumente und Einstellungen\boston\Anwendungsdaten\Shcache\viewframe.exe [218624 2014-12-01] ()
2014-12-01 19:00 - 2014-12-01 19:00 - 00000000 ____D () C:\Dokumente und Einstellungen\boston\Anwendungsdaten\Shcache
2014-12-01 19:00 - 2014-12-01 13:17 - 00215552 _____ (Tencent) C:\Dokumente und Einstellungen\boston\msbcgpi.exe
Files to move or delete:
====================
C:\Dokumente und Einstellungen\boston\msbcgpi.exe

msbcgpi.exe ist eine Kopie der Ausgangsdatei, viewframe.exe offensichtlich ein Update.
http://abload.de/thumb/auftrag27jc8t.png
https://www.virustotal.com/en/file/0c07 ... 417459020/" onclick="window.open(this.href);return false;
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Und auch mal wieder ein neuer Kandidat von mir:
https://www.virustotal.com/de/file/52ab ... 417616819/
Erkennung derzeit durch Avast, ESet, Ikarus, K7, Malwarebytes, Qihoo und Sophos.

Die Datei kam per E-Mail und wurde zumindest vom GData-Outbreakshield als "Virus" identifiziert.
We have bugs the likes of which even God has never seen!
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

@bosten

also die Beiden Samples haben mein Testsystem regelrecht hingerichtet! Weder Malwarebytes noch Emsisoft konnten ihren Suchlauf zu Ende führen. Im laufendem Betrieb wurde von keinem Programm eine Infektion erkannt, obwohl ein Password Stealer und Backdoor aktiv waren! Lediglich avast! 2015 hat im gehärteten Modus den Suchlauf mit Funden zu Ende führen können, jedoch konnte nicht alles in die Quarantäne verschoben werden, da das System nicht mehr bedienbar einfror und das nach jeden Neustart! Ich werde das Test-System nun neu aufsetzen.
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

Zur Information: Das Sample "auftrag9226.scr" aus Post #10461 war ein Spam Bot! Dieser konnte nur mit Combofix deaktiviert werden.
Hudi
Beiträge: 5
Registriert: Sa 3. Jan 2015, 07:30
Betriebssystem: Windows 8

Re: Beispiel neuer Trojaner

Beitrag von Hudi »

Hallo,

Ich möchte weißen: Was ist die Bedeutung? Wie bestimmt eine Post ein Spam Bot?
Ein Übel kommt selten allein.
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Mal wieder ein neues Sample, auch wenn der Trojaner schon recht gut erkannt wird, lohnt sich immer noch ein genauerer Blick.
Die .ZIP: https://www.virustotal.com/de/file/cf6c ... 423142420/
Die darin enthaltene .EXE: https://www.virustotal.com/de/file/e95b ... 423142591/

Obwohl die Datei zum ersten Mal vor 2,5 Tagen bei Virustotal eingereicht wurde, wird sie von 25 von 56 Antivirenprogrammen immer noch als "sauber" klassifiziert.

Bei der .ZIP versagen demnach aktuell: ALYac, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, ByteHero, CMC, ClamAV, Comodo, Cyren, F-Prot, Kingsoft, Panda, Qihoo-360, Rising, SuperAntiSpyware, Symantec, TotalDefense, TrendMicro, VBA32, ViRobot, Zillya und Zoner.

Die .EXE wird zusaetzlich von AhnLab erkannt, dafuer stuft Tencent die .EXE aber als sauber ein. Insbesondere letzteres ist definitiv bemerkenswert und deutet darauf hin, dass bei Tencent nur die Signatur der ZIP-Datei und nicht des eigentlichen Schadprogramms erfasst worden ist.
We have bugs the likes of which even God has never seen!
Benutzeravatar
Carlus
Beiträge: 643
Registriert: So 24. Aug 2014, 14:40
Wohnort: Das Tor zur Welt

Re: Beispiel neuer Trojaner

Beitrag von Carlus »

ich hab da heute auch wieder ne mail mit anhang gehabt
Guten Tag Hh20,

Ihr Kreditinstitut hat die Lastschrift zurück gebucht. Sie haben eine nicht gedeckte Rechnung bei der Firma Bank-Pay AG.

Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet zuzüglich, die durch unsere Tätigkeit entstandenen Kosten von 48,59 Euro zu bezahlen. Wir erwarten die Überweisung bis spätestens 16.02.2015 auf unser Konto.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Akte dem Gericht und der Schufa übergeben. Die detaillierte Forderungsausstellung, der Sie alle Positionen entnehmen können, fügen wir bei. Für Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung sofort zu begleichen.

Mit freundlichen Grüßen

Abrechnung Schreiber Ole
man beachte... das hh20 ist wirklich die mailadresse :lol:

wie alt das teil (eine .com) in der doppelten zip ist weiß ich ja nicht, aber VT erkennung liegt bei 8/57

https://www.virustotal.com/de/file/960c ... 423688897/" onclick="window.open(this.href);return false;
Gruß Carlus

Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
Benutzeravatar
Carlus
Beiträge: 643
Registriert: So 24. Aug 2014, 14:40
Wohnort: Das Tor zur Welt

Re: Beispiel neuer Trojaner

Beitrag von Carlus »

hmm....

die entpackte .com ergibt jetzt 11/57 https://www.virustotal.com/de/file/524b ... 423689993/
Gruß Carlus

Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Auch hier finde ich es sehr irritierend, dass GData die .ZIP erkennt, den Inhalt aber nicht. :neg:
We have bugs the likes of which even God has never seen!
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Heute mal wieder zwei Neuzugaenge.
Beweisstueck A:
https://www.virustotal.com/de/file/6122 ... 427727536/
Erkennung derzeit durch Avast, ESET, Ikarus, McAfee, Qihoo, Tencent und TrendMicro.

Beweisstueck B:
https://www.virustotal.com/de/file/f487 ... 427727765/
Erkennung derzeit durch Avast, Avira, ESET, Ikarus, Qihoo, Sophos, Symantec und TrendMicro (hier auch der TrendMicro HouseCall).
We have bugs the likes of which even God has never seen!
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Update 22 Stunden spaeter.

A:
Immer noch keine Erkennung durch AVware, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, Baidu, Bkav, ByteHero, CAT-QuickHeal, CMC, ClamAV, Comodo, Fortinet, Jiangmin, Kingsoft, McAfee, NANO-Antivirus, Norman, Rising, SuperAntiSpyware, TheHacker, TotalDefense, VBA32, Vipre, ViRobot, Zillya und Zoner.

B:
Immer noch keine Erkennung durch AVware, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, Baidu, Bkav, ByteHero, CAT-QuickHeal, CMC, ClamAV, Comodo, Cyren, F-Prot, Fortinet, Jiangmin, K7Antivirus, Kingsoft, McAfee, NANO-Antivirus, Norman, Panda, Rising, SuperAntiSpyware, Tencent, TheHacker, TotalDefense, VBA32, ViRobot, Zillya und Zoner.
We have bugs the likes of which even God has never seen!
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Heute kam hier mal wieder ein neuer Trojaner in einer ZIP-Datei rein. Fuer Firmen, die international Handel betreiben, ist die Aufmachung der E-Mail dabei durchaus nicht ungefaehrlich:

Code: Alles auswählen

Attn: Sir/ Madam,

We are trading dealer based in Uzbekistan and supplying to various industries all over Uzbekistan. We are interested in purchasing the attached order items from you.

Please quote us as per attached.
 
You will find additional comment on the attached itself.

Warm Regards

Mr.Timur Rustam
Overseas Merchandise Inspection Co., Ltd. (Uzbekistan Office)
33-7, Shota Rustaveli Street, Tashkent 100070
Tel: (998) 71-254-0028, 254-5652
Fax: (998) 71-254-5652
www.****.uz
Ok, der Anhang enthaelt eine .EXE, was ja nun wirklich nicht geoeffnet werden sollte, aber das passiert am Ende dann doch immer wieder.

Wirklich bemerkenswert ist, welche Scanner bei Virustotal die Datei derzeit als schaedlich einstufen:
AVware, DrWeb, ESET, Qihoo-360, Tencent und Vipre.

Ja, das sind tatsaechlich die Antivirenprogramme, die den Trojaner derzeit erkennen!
We have bugs the likes of which even God has never seen!
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

Also avast! und EAM haben die Malware hier auf einem meiner Systeme zum derzeitigen Zeitpunkt erkannt.
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Gemaess Virustotal wird die Datei aktuell von
AVG, AdAware, Arcabit, Avira, BitDefender, DrWeb, ESET, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Malwarebytes, McAfee, MicroWorld, Qihoo-360, Symantec, Tencent und Vipre
erkannt.

Erkennt Avast bei Dir die .ZIP oder die enthaltene .EXE?
We have bugs the likes of which even God has never seen!
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

avast! hat die ZIP erkannt (POP3 Scan), die .exe nach dem entpacken nicht, die habe ich eingesendet.
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Ja, mittlerweile wird die Datei von
ALYac, AVG, AdAware, Arcabit, Avira, Avast, AVware, Baidu, BitDefender, DrWeb, ESET, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Kaspersky, Malwarebytes, McAfee, MicroWorld, nProtect, Panda, Qihoo-360, Symantec, Tencent und Vipre
erkannt.

Da hatte Virustotal letzte Nacht vermutlich noch nicht die neusten Signaturen.
We have bugs the likes of which even God has never seen!
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Hier ist mal wieder ein neues Exemplar eingetrudelt.

Eine .EXE in einem GZ-Archiv. Der Text der E-Mail koennte sie allerdings fuer Empfaenger in entsprechenden Firmen durchaus gefaehrlich machen:

Code: Alles auswählen

Dear Sir,

Find enclosed the enlisted material inquiry and company profile. 
Revert with quotation for our kind consideration.

Looking forward to hearing from you.

Best Regards,
Rajesh Choraria
CMS Department
Mobile  +971-55-2207077)

Head Office: Khaleed Bin Waleed Road
Al Tawhidi Building 3rd Floor 304
P.O. Box: 27106 - Dubai. United Arab Emirates.
Tel: +971-4-3586660, Fax: +971-4-3556667
Factory Address: Tel: +971-4-2859041, Ideal Services, Dubai - U.A.E.
Gut, der Absender ist eine .co.uk-E-Mail-Adresse, aber das wird wirklich sehr leicht uebersehen.

Derzeit wird das Archiv laut Virustotal nur von drei Programmen erkannt: DrWeb, Fortinet und Rising.
Auch bei der Erkennung der .EXE selbst sieht es kaum besser aus: nur AhnLab, DrWeb, Fortinet, Ikarus, Kaspersky und Rising erkennen die Malware derzeit.
We have bugs the likes of which even God has never seen!
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Aktuell wird die .EXE von
AVG, Ad-Aware, AhnLab, Arcabit, Avast, BitDefender, DrWeb, Eset, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Kaspersky, Malwarebytes, MicroWorld, Qihoo, Rising, Sophos und TrendMicro
erkannt.

Unter anderem
Avira, Baidu, ClamAV, F-Prot, McAfee, Microsoft, Panda, Symantec und Tencent
halten die Datei nach wie vor fuer sauber.
We have bugs the likes of which even God has never seen!
Benutzeravatar
AlfaMS
Beiträge: 1835
Registriert: So 24. Aug 2014, 15:20
Betriebssystem: LinuxMint 64 & Windows 10 Pro 64 (DualBoot)
Wohnort: Münster

Re: Beispiel neuer Trojaner

Beitrag von AlfaMS »

:shock:
Give Peace A Chance
Gesperrt