Beispiel neuer Trojaner
- beate67
- Beiträge: 1199
- Registriert: So 24. Aug 2014, 15:16
- Wohnort: am wunderschönen Niederrhein
Re: Beispiel neuer Trojaner
Dankeschön! VM war ja klar aber RE eben nicht.
Gruß, Beate
Gruß, Beate
"Wenn du eine weise Antwort willst, mußt du vernünftig fragen." (Johann Wolfgang von Goethe)
-
- Beiträge: 44
- Registriert: Di 23. Sep 2014, 18:36
Re: Beispiel neuer Trojaner
Mal wieder ne frische Mail.
Im Anhang eine gezippte scr-Datei.
http://abload.de/thumb/auftragv6lht.png
https://www.virustotal.com/en/file/eb88 ... /analysis/" onclick="window.open(this.href);return false;
Diese Datei läuft offensichtlich nicht "richtig", wenn Wireshark gestartet ist.
Symptome im FRST-Log:
HKU\S-1-5-21-2826079578-1145344860-2808212919-1013\...\Run: [Packhtml] => C:\Dokumente und Einstellungen\boston\Anwendungsdaten\Shcache\viewframe.exe [218624 2014-12-01] ()
2014-12-01 19:00 - 2014-12-01 19:00 - 00000000 ____D () C:\Dokumente und Einstellungen\boston\Anwendungsdaten\Shcache
2014-12-01 19:00 - 2014-12-01 13:17 - 00215552 _____ (Tencent) C:\Dokumente und Einstellungen\boston\msbcgpi.exe
Files to move or delete:
====================
C:\Dokumente und Einstellungen\boston\msbcgpi.exe
msbcgpi.exe ist eine Kopie der Ausgangsdatei, viewframe.exe offensichtlich ein Update.
http://abload.de/thumb/auftrag27jc8t.png
https://www.virustotal.com/en/file/0c07 ... 417459020/" onclick="window.open(this.href);return false;
Im Anhang eine gezippte scr-Datei.
http://abload.de/thumb/auftragv6lht.png
https://www.virustotal.com/en/file/eb88 ... /analysis/" onclick="window.open(this.href);return false;
Diese Datei läuft offensichtlich nicht "richtig", wenn Wireshark gestartet ist.
Symptome im FRST-Log:
HKU\S-1-5-21-2826079578-1145344860-2808212919-1013\...\Run: [Packhtml] => C:\Dokumente und Einstellungen\boston\Anwendungsdaten\Shcache\viewframe.exe [218624 2014-12-01] ()
2014-12-01 19:00 - 2014-12-01 19:00 - 00000000 ____D () C:\Dokumente und Einstellungen\boston\Anwendungsdaten\Shcache
2014-12-01 19:00 - 2014-12-01 13:17 - 00215552 _____ (Tencent) C:\Dokumente und Einstellungen\boston\msbcgpi.exe
Files to move or delete:
====================
C:\Dokumente und Einstellungen\boston\msbcgpi.exe
msbcgpi.exe ist eine Kopie der Ausgangsdatei, viewframe.exe offensichtlich ein Update.
http://abload.de/thumb/auftrag27jc8t.png
https://www.virustotal.com/en/file/0c07 ... 417459020/" onclick="window.open(this.href);return false;
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Und auch mal wieder ein neuer Kandidat von mir:
https://www.virustotal.com/de/file/52ab ... 417616819/
Erkennung derzeit durch Avast, ESet, Ikarus, K7, Malwarebytes, Qihoo und Sophos.
Die Datei kam per E-Mail und wurde zumindest vom GData-Outbreakshield als "Virus" identifiziert.
https://www.virustotal.com/de/file/52ab ... 417616819/
Erkennung derzeit durch Avast, ESet, Ikarus, K7, Malwarebytes, Qihoo und Sophos.
Die Datei kam per E-Mail und wurde zumindest vom GData-Outbreakshield als "Virus" identifiziert.
We have bugs the likes of which even God has never seen!
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
@bosten
also die Beiden Samples haben mein Testsystem regelrecht hingerichtet! Weder Malwarebytes noch Emsisoft konnten ihren Suchlauf zu Ende führen. Im laufendem Betrieb wurde von keinem Programm eine Infektion erkannt, obwohl ein Password Stealer und Backdoor aktiv waren! Lediglich avast! 2015 hat im gehärteten Modus den Suchlauf mit Funden zu Ende führen können, jedoch konnte nicht alles in die Quarantäne verschoben werden, da das System nicht mehr bedienbar einfror und das nach jeden Neustart! Ich werde das Test-System nun neu aufsetzen.
also die Beiden Samples haben mein Testsystem regelrecht hingerichtet! Weder Malwarebytes noch Emsisoft konnten ihren Suchlauf zu Ende führen. Im laufendem Betrieb wurde von keinem Programm eine Infektion erkannt, obwohl ein Password Stealer und Backdoor aktiv waren! Lediglich avast! 2015 hat im gehärteten Modus den Suchlauf mit Funden zu Ende führen können, jedoch konnte nicht alles in die Quarantäne verschoben werden, da das System nicht mehr bedienbar einfror und das nach jeden Neustart! Ich werde das Test-System nun neu aufsetzen.
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
Zur Information: Das Sample "auftrag9226.scr" aus Post #10461 war ein Spam Bot! Dieser konnte nur mit Combofix deaktiviert werden.
-
- Beiträge: 5
- Registriert: Sa 3. Jan 2015, 07:30
- Betriebssystem: Windows 8
Re: Beispiel neuer Trojaner
Hallo,
Ich möchte weißen: Was ist die Bedeutung? Wie bestimmt eine Post ein Spam Bot?
Ich möchte weißen: Was ist die Bedeutung? Wie bestimmt eine Post ein Spam Bot?
Ein Übel kommt selten allein.
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Mal wieder ein neues Sample, auch wenn der Trojaner schon recht gut erkannt wird, lohnt sich immer noch ein genauerer Blick.
Die .ZIP: https://www.virustotal.com/de/file/cf6c ... 423142420/
Die darin enthaltene .EXE: https://www.virustotal.com/de/file/e95b ... 423142591/
Obwohl die Datei zum ersten Mal vor 2,5 Tagen bei Virustotal eingereicht wurde, wird sie von 25 von 56 Antivirenprogrammen immer noch als "sauber" klassifiziert.
Bei der .ZIP versagen demnach aktuell: ALYac, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, ByteHero, CMC, ClamAV, Comodo, Cyren, F-Prot, Kingsoft, Panda, Qihoo-360, Rising, SuperAntiSpyware, Symantec, TotalDefense, TrendMicro, VBA32, ViRobot, Zillya und Zoner.
Die .EXE wird zusaetzlich von AhnLab erkannt, dafuer stuft Tencent die .EXE aber als sauber ein. Insbesondere letzteres ist definitiv bemerkenswert und deutet darauf hin, dass bei Tencent nur die Signatur der ZIP-Datei und nicht des eigentlichen Schadprogramms erfasst worden ist.
Die .ZIP: https://www.virustotal.com/de/file/cf6c ... 423142420/
Die darin enthaltene .EXE: https://www.virustotal.com/de/file/e95b ... 423142591/
Obwohl die Datei zum ersten Mal vor 2,5 Tagen bei Virustotal eingereicht wurde, wird sie von 25 von 56 Antivirenprogrammen immer noch als "sauber" klassifiziert.
Bei der .ZIP versagen demnach aktuell: ALYac, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, ByteHero, CMC, ClamAV, Comodo, Cyren, F-Prot, Kingsoft, Panda, Qihoo-360, Rising, SuperAntiSpyware, Symantec, TotalDefense, TrendMicro, VBA32, ViRobot, Zillya und Zoner.
Die .EXE wird zusaetzlich von AhnLab erkannt, dafuer stuft Tencent die .EXE aber als sauber ein. Insbesondere letzteres ist definitiv bemerkenswert und deutet darauf hin, dass bei Tencent nur die Signatur der ZIP-Datei und nicht des eigentlichen Schadprogramms erfasst worden ist.
We have bugs the likes of which even God has never seen!
- Carlus
- Beiträge: 643
- Registriert: So 24. Aug 2014, 14:40
- Wohnort: Das Tor zur Welt
Re: Beispiel neuer Trojaner
ich hab da heute auch wieder ne mail mit anhang gehabt
wie alt das teil (eine .com) in der doppelten zip ist weiß ich ja nicht, aber VT erkennung liegt bei 8/57
https://www.virustotal.com/de/file/960c ... 423688897/" onclick="window.open(this.href);return false;
man beachte... das hh20 ist wirklich die mailadresseGuten Tag Hh20,
Ihr Kreditinstitut hat die Lastschrift zurück gebucht. Sie haben eine nicht gedeckte Rechnung bei der Firma Bank-Pay AG.
Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet zuzüglich, die durch unsere Tätigkeit entstandenen Kosten von 48,59 Euro zu bezahlen. Wir erwarten die Überweisung bis spätestens 16.02.2015 auf unser Konto.
Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Akte dem Gericht und der Schufa übergeben. Die detaillierte Forderungsausstellung, der Sie alle Positionen entnehmen können, fügen wir bei. Für Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.
Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung sofort zu begleichen.
Mit freundlichen Grüßen
Abrechnung Schreiber Ole
wie alt das teil (eine .com) in der doppelten zip ist weiß ich ja nicht, aber VT erkennung liegt bei 8/57
https://www.virustotal.com/de/file/960c ... 423688897/" onclick="window.open(this.href);return false;
Gruß Carlus
Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
- Carlus
- Beiträge: 643
- Registriert: So 24. Aug 2014, 14:40
- Wohnort: Das Tor zur Welt
Re: Beispiel neuer Trojaner
hmm....
die entpackte .com ergibt jetzt 11/57 https://www.virustotal.com/de/file/524b ... 423689993/
die entpackte .com ergibt jetzt 11/57 https://www.virustotal.com/de/file/524b ... 423689993/
Gruß Carlus
Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Auch hier finde ich es sehr irritierend, dass GData die .ZIP erkennt, den Inhalt aber nicht.
We have bugs the likes of which even God has never seen!
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Heute mal wieder zwei Neuzugaenge.
Beweisstueck A:
https://www.virustotal.com/de/file/6122 ... 427727536/
Erkennung derzeit durch Avast, ESET, Ikarus, McAfee, Qihoo, Tencent und TrendMicro.
Beweisstueck B:
https://www.virustotal.com/de/file/f487 ... 427727765/
Erkennung derzeit durch Avast, Avira, ESET, Ikarus, Qihoo, Sophos, Symantec und TrendMicro (hier auch der TrendMicro HouseCall).
Beweisstueck A:
https://www.virustotal.com/de/file/6122 ... 427727536/
Erkennung derzeit durch Avast, ESET, Ikarus, McAfee, Qihoo, Tencent und TrendMicro.
Beweisstueck B:
https://www.virustotal.com/de/file/f487 ... 427727765/
Erkennung derzeit durch Avast, Avira, ESET, Ikarus, Qihoo, Sophos, Symantec und TrendMicro (hier auch der TrendMicro HouseCall).
We have bugs the likes of which even God has never seen!
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Update 22 Stunden spaeter.
A:
Immer noch keine Erkennung durch AVware, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, Baidu, Bkav, ByteHero, CAT-QuickHeal, CMC, ClamAV, Comodo, Fortinet, Jiangmin, Kingsoft, McAfee, NANO-Antivirus, Norman, Rising, SuperAntiSpyware, TheHacker, TotalDefense, VBA32, Vipre, ViRobot, Zillya und Zoner.
B:
Immer noch keine Erkennung durch AVware, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, Baidu, Bkav, ByteHero, CAT-QuickHeal, CMC, ClamAV, Comodo, Cyren, F-Prot, Fortinet, Jiangmin, K7Antivirus, Kingsoft, McAfee, NANO-Antivirus, Norman, Panda, Rising, SuperAntiSpyware, Tencent, TheHacker, TotalDefense, VBA32, ViRobot, Zillya und Zoner.
A:
Immer noch keine Erkennung durch AVware, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, Baidu, Bkav, ByteHero, CAT-QuickHeal, CMC, ClamAV, Comodo, Fortinet, Jiangmin, Kingsoft, McAfee, NANO-Antivirus, Norman, Rising, SuperAntiSpyware, TheHacker, TotalDefense, VBA32, Vipre, ViRobot, Zillya und Zoner.
B:
Immer noch keine Erkennung durch AVware, AegisLab, Agnitum, AhnLab, Alibaba, Antiy-AVL, Baidu, Bkav, ByteHero, CAT-QuickHeal, CMC, ClamAV, Comodo, Cyren, F-Prot, Fortinet, Jiangmin, K7Antivirus, Kingsoft, McAfee, NANO-Antivirus, Norman, Panda, Rising, SuperAntiSpyware, Tencent, TheHacker, TotalDefense, VBA32, ViRobot, Zillya und Zoner.
We have bugs the likes of which even God has never seen!
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Heute kam hier mal wieder ein neuer Trojaner in einer ZIP-Datei rein. Fuer Firmen, die international Handel betreiben, ist die Aufmachung der E-Mail dabei durchaus nicht ungefaehrlich:
Ok, der Anhang enthaelt eine .EXE, was ja nun wirklich nicht geoeffnet werden sollte, aber das passiert am Ende dann doch immer wieder.
Wirklich bemerkenswert ist, welche Scanner bei Virustotal die Datei derzeit als schaedlich einstufen:
AVware, DrWeb, ESET, Qihoo-360, Tencent und Vipre.
Ja, das sind tatsaechlich die Antivirenprogramme, die den Trojaner derzeit erkennen!
Code: Alles auswählen
Attn: Sir/ Madam,
We are trading dealer based in Uzbekistan and supplying to various industries all over Uzbekistan. We are interested in purchasing the attached order items from you.
Please quote us as per attached.
You will find additional comment on the attached itself.
Warm Regards
Mr.Timur Rustam
Overseas Merchandise Inspection Co., Ltd. (Uzbekistan Office)
33-7, Shota Rustaveli Street, Tashkent 100070
Tel: (998) 71-254-0028, 254-5652
Fax: (998) 71-254-5652
www.****.uz
Wirklich bemerkenswert ist, welche Scanner bei Virustotal die Datei derzeit als schaedlich einstufen:
AVware, DrWeb, ESET, Qihoo-360, Tencent und Vipre.
Ja, das sind tatsaechlich die Antivirenprogramme, die den Trojaner derzeit erkennen!
We have bugs the likes of which even God has never seen!
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
Also avast! und EAM haben die Malware hier auf einem meiner Systeme zum derzeitigen Zeitpunkt erkannt.
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Gemaess Virustotal wird die Datei aktuell von
AVG, AdAware, Arcabit, Avira, BitDefender, DrWeb, ESET, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Malwarebytes, McAfee, MicroWorld, Qihoo-360, Symantec, Tencent und Vipre
erkannt.
Erkennt Avast bei Dir die .ZIP oder die enthaltene .EXE?
AVG, AdAware, Arcabit, Avira, BitDefender, DrWeb, ESET, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Malwarebytes, McAfee, MicroWorld, Qihoo-360, Symantec, Tencent und Vipre
erkannt.
Erkennt Avast bei Dir die .ZIP oder die enthaltene .EXE?
We have bugs the likes of which even God has never seen!
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
avast! hat die ZIP erkannt (POP3 Scan), die .exe nach dem entpacken nicht, die habe ich eingesendet.
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Ja, mittlerweile wird die Datei von
ALYac, AVG, AdAware, Arcabit, Avira, Avast, AVware, Baidu, BitDefender, DrWeb, ESET, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Kaspersky, Malwarebytes, McAfee, MicroWorld, nProtect, Panda, Qihoo-360, Symantec, Tencent und Vipre
erkannt.
Da hatte Virustotal letzte Nacht vermutlich noch nicht die neusten Signaturen.
ALYac, AVG, AdAware, Arcabit, Avira, Avast, AVware, Baidu, BitDefender, DrWeb, ESET, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Kaspersky, Malwarebytes, McAfee, MicroWorld, nProtect, Panda, Qihoo-360, Symantec, Tencent und Vipre
erkannt.
Da hatte Virustotal letzte Nacht vermutlich noch nicht die neusten Signaturen.
We have bugs the likes of which even God has never seen!
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Hier ist mal wieder ein neues Exemplar eingetrudelt.
Eine .EXE in einem GZ-Archiv. Der Text der E-Mail koennte sie allerdings fuer Empfaenger in entsprechenden Firmen durchaus gefaehrlich machen:
Gut, der Absender ist eine .co.uk-E-Mail-Adresse, aber das wird wirklich sehr leicht uebersehen.
Derzeit wird das Archiv laut Virustotal nur von drei Programmen erkannt: DrWeb, Fortinet und Rising.
Auch bei der Erkennung der .EXE selbst sieht es kaum besser aus: nur AhnLab, DrWeb, Fortinet, Ikarus, Kaspersky und Rising erkennen die Malware derzeit.
Eine .EXE in einem GZ-Archiv. Der Text der E-Mail koennte sie allerdings fuer Empfaenger in entsprechenden Firmen durchaus gefaehrlich machen:
Code: Alles auswählen
Dear Sir,
Find enclosed the enlisted material inquiry and company profile.
Revert with quotation for our kind consideration.
Looking forward to hearing from you.
Best Regards,
Rajesh Choraria
CMS Department
Mobile +971-55-2207077)
Head Office: Khaleed Bin Waleed Road
Al Tawhidi Building 3rd Floor 304
P.O. Box: 27106 - Dubai. United Arab Emirates.
Tel: +971-4-3586660, Fax: +971-4-3556667
Factory Address: Tel: +971-4-2859041, Ideal Services, Dubai - U.A.E.
Derzeit wird das Archiv laut Virustotal nur von drei Programmen erkannt: DrWeb, Fortinet und Rising.
Auch bei der Erkennung der .EXE selbst sieht es kaum besser aus: nur AhnLab, DrWeb, Fortinet, Ikarus, Kaspersky und Rising erkennen die Malware derzeit.
We have bugs the likes of which even God has never seen!
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Aktuell wird die .EXE von
AVG, Ad-Aware, AhnLab, Arcabit, Avast, BitDefender, DrWeb, Eset, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Kaspersky, Malwarebytes, MicroWorld, Qihoo, Rising, Sophos und TrendMicro
erkannt.
Unter anderem
Avira, Baidu, ClamAV, F-Prot, McAfee, Microsoft, Panda, Symantec und Tencent
halten die Datei nach wie vor fuer sauber.
AVG, Ad-Aware, AhnLab, Arcabit, Avast, BitDefender, DrWeb, Eset, Emsisoft, F-Secure, Fortinet, GData, Ikarus, Kaspersky, Malwarebytes, MicroWorld, Qihoo, Rising, Sophos und TrendMicro
erkannt.
Unter anderem
Avira, Baidu, ClamAV, F-Prot, McAfee, Microsoft, Panda, Symantec und Tencent
halten die Datei nach wie vor fuer sauber.
We have bugs the likes of which even God has never seen!
- AlfaMS
- Beiträge: 1835
- Registriert: So 24. Aug 2014, 15:20
- Betriebssystem: LinuxMint 64 & Windows 10 Pro 64 (DualBoot)
- Wohnort: Münster