Storm Worm überrollt die Welt

01.09.2007, 18:26
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#1 Seit letzter Woche häufen sich die E-mails mit Aufforderungen, sich ein Video anzusehen, mit folgendem Inhalt:

Zitat

Subject: Cool Video is out
T-Pain just made a video you have got to see.
See the version before MTV airs it. Go here to get the video:
http://86.1*0,1*6.56/

Subject: awesome new video
Chris Brown just made a video you have got to see.
Watch it before anyone else sees it. Cut and paste the link in your
browser to get the video: http://2*.1*7.2*.1*0/

Subject:dude this is not even on MTV yet
Foo Fighters finished a new video.
Go get it before they take it offline. Paste this address in your
browser for the video: http://6*.2*.1*1.8*/
Wer also klickt wird infiziert mit:
A file "codec.exe" will be downloaded from this page. It's a variant of Email-Worm.Win32.Zhelatin.


Auch gibt es E-mails um ein YouTube Filmchen anzusehen auch hier wird man infiziert
A file "video.exe" will be downloaded from this page. It's a variant of Email-Worm.Win32.Zhelatin.


In den letzten, noch neueren E-mails, ist eine Aufforderung um als Bèta-Tester mit zu Arbeiten und neue Tools zu testen
A file "setup.exe" can be downloaded.Kaspersky detects it as Email-Worm.Win32.Zhelatin.hs.



Folgen? Man wird ohne es zu wissen Teil eines Bot-Netzwerk und ist kein Herr mehr ueber sein eigenen PC!

Sorge fuer ein Up-to-date
Windows mit alle sicherheits Patches
Virenscanner
Firewall

Was ist ein Botnet http://de.wikipedia.org/wiki/Botnet
Ein Filmbeitrag über Botnet English,

Info:
http://sunbeltblog.blogspot.com/2007/08/new-storm-worm-variants-on-loose.html
http://www.symantec.com/enterprise/security_response/weblog/2007/08/new_storm_front_moving_in.html
http://www.symantec.com/de/de/security_response/writeup.jsp?docid=2007-011917-1403-99
__________
MfG Argus
Seitenanfang Seitenende
03.09.2007, 08:57
Member

Beiträge: 3306
#2 Gib mir doch mal die URLs oder mach dir selbst den Spaß mal eine EXE runterzuladen und auf VirusTotal, Jotti etc. zu testen. Ich würde wetten eine gute Zahl der Virenscanner versagt wieder kläglich.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
03.09.2007, 12:20
Moderator

Beiträge: 7805
#3 Die passen ihrer Exe Dateien derzeit alle 5 Std. an. Die Antivir zhelatin.gen ist die, die am laengsten gehalten hat, aber diese musste inzwischen auch wieder angepasst werden. Mal schauen wie lange das haelt.

Du wirst dich aber wundern, wieviele Scanner diese Exe Dateien melden. Es scheint einfach so zu sein, das die Malwarehersteller garnicht so darauf angewiesen sind, die Malware zu aendern. Es soll wohl noch genuegend ungeschuetzte Rechner geben...

BTW: Die IP Adresse ist bestimmt nicht mehr gueltig, da dies Adressen aus dem Botnetz sind, die sich haeufig aendern.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.09.2007, 20:05
Member

Beiträge: 3306
#4 Meine Variante:

Zitat

Betreff: dude, check out this video, is not out yet

Beyonce just made a new video.

Be the first to check it out. Follow the link to get the video:
htt*://213.245.43.18/
Da gibt es dann ein Bild "Happy Labor Day" und den Text "Click on the image, download the file and then press Run. Enjoy!".

Nun zur labor.exe die man daraufhin erhält:



Also ein Virenscanner bietet kaum effektiven Schutz, wenn dann muss man schon ein ganzes Rudel auf eine verdächtige Datei loslassen. Wenn man die Datei schon ausgeführt hat müsste man das dann konsequenterweise für den ganzen PC machen da wird's dann natürlich langsam utopisch.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 03.09.2007 um 20:13 Uhr von asdrubael editiert.
Seitenanfang Seitenende
03.09.2007, 20:48
Moderator

Beiträge: 7805
#5 Der Downloader wird auch nicht viel besser erkannt:

Scan report of: file[1].exe

AntiVir WORM/Zhelatin.Gen
Avast! -
AVG Downloader.Tibs.7.N (Trojan horse)
BitDefender Trojan.Peed.Gen
ClamAV -
Command -
Dr Web Trojan.Packed.142
eSafe -
eTrust-VET -
Ewido -
F-Prot -
F-Secure -
Fortinet suspicious
Ikarus -
Kaspersky Email-Worm.Win32.Zhelatin.im
McAfee -
Microsoft -
Nod32 -
Norman -
Panda -
QuickHeal Suspicious (warning)
Rising -
Sophos Mal/Dorf-E
Symantec Trojan.Packed.13
Trend Micro Possible_Nucrp-4
VBA32 -
VirusBuster Trojan.Tibs.Gen!Pac.135
WebWasher Worm.Zhelatin.Gen
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.09.2007, 11:47
Ehrenmitglied
Themenstarter
Avatar Argus

Beiträge: 6028
#6 Zum thema http://www.f-secure.com/weblog/
__________
MfG Argus
Seitenanfang Seitenende
12.10.2007, 10:53
Ehrenmitglied
Themenstarter
Avatar Argus

Beiträge: 6028
#7 Wer kennt sie nicht die schoene E-cards


Heute ein mail reinbekommen

Zitat

Please click here to view your Crazy Kitty Card Online.
h**tp://71.194.58.255/
Und was Websense dazu sagt "This file contains the Storm payload code"
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=807
__________
MfG Argus
Seitenanfang Seitenende
18.10.2007, 15:10
Ehrenmitglied
Themenstarter
Avatar Argus

Beiträge: 6028
#8 Eine neue P2P Webseite infiziert ungepatchte Recher gleich mit Trojan-Downloader.JS.Agent.KD
Gepatchte Recher muessen zuerst krackin.exe runterladen und werden dan infiziert mit Email-Worm.Win32.Zhelatin.KE
Und werden ohne es zu wissen mitglied vom Storm Syndicat


Quelle:
http://www.f-secure.com/weblog/archives/00001296.html
http://www.pcwelt.de/computerundtechnik/sicherheit/datenschutz/news/97022/
http://www.avertlabs.com/research/blog/index.php/2007/10/17/nuwar-starts-krackin/
__________
MfG Argus
Seitenanfang Seitenende
31.10.2007, 07:26
Ehrenmitglied
Themenstarter
Avatar Argus

Beiträge: 6028
#9 Zeit gestern wird via Email,MSN,IRC ein mail verbreitet worin man aufgefordert wird sich ein "Sexual Helloween Game mit tanzender Skelette"anzusehen

Zitat

Just a little Halloween fun. h**p://69.228.35.168/


Quelle: http://www.websense.com/securitylabs/alerts/alert.php?AlertID=814
__________
MfG Argus
Seitenanfang Seitenende
16.01.2008, 00:18
Ehrenmitglied
Themenstarter
Avatar Argus

Beiträge: 6028
#10 Zum Valentinstag gibt es schon wieder die ersten E-cards mit ein infizierten Link
Also nicht klicken!

Quelle: http://www.websense.com/securitylabs/alerts/alert.php?AlertID=838


__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: