Neuer Rechnung.pdf.exe / T-com-Rechnung.pdf.exe Trojaner

#16

Zitat

Managor postete
Ich probiers mal neu. Evtl. haben die Dateien ein gefälschtes Datum, dann ist es klar, dass die Datfind.bat die Dateien nicht bei den übrigen Dateien aufführt.

Gefunden:
02.04.2003 14:00 6.352 mcfdrv.sys
02.04.2003 14:00 28.097 mcfCC4.dll

Ich habe übersehen, dass das Ding einen Ordner erstellt:
c:\windows\system32\user local files

das ist interessant, denn nun muessen wir immer ALLE Dateien anfordern oder?
Wie wird denn das dargestellt..unter den Daten von 2003 ? oder zwischen den von 2005 , also in Reihenfolge der Installationszeit?

die Veraenderungen in der Registry waeren auch interessant.....
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Also, da wären noch eine ganze Menge anderer Dateien mit genau derselben Zeit (14:00 am 02.04.2003), die aber auf einem sauberen Windows auch vorhanden sind. Ich vermute, dass damit vorgetäuscht werden soll, die Dateien seien original von der Windows-CD.

Nachtrag: Die Änderungen an der Registry sind bei Trendmicro dokumentiert:

Zitat

Removing Added Entries from the Registry
Removing added entries from the registry prevents the malware from performing its propagation routine.
If the registry entries below are not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
1. Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
2. In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>iMesh>
Client>LocalContent
3. In the right panel, locate and delete the entries:
• dir0 = "012345:C:\WINDOWS\System32\User Local Files"
• DlDir0 = "C:\WINDOWS\System32\User Local Files"
4. In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Kazaa>LocalContent
5. In the right panel, locate and delete the entries:
• dir0 = "012345:C:\WINDOWS\System32\User Local Files"
• DlDir0 = "C:\WINDOWS\System32\User Local Files"
• DisableSharing = "dword:00000000"
6. In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Kazaa> Transfer
7. In the right panel, locate and delete the entries:
• dir0 = "012345:C:\WINDOWS\System32\User Local Files"
• DlDir0 = "C:\WINDOWS\System32\User Local Files"
8. Close Registry Editor.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FGOLDUN%2EA&VSect=Sn
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#18 Das beantwortet aber die Frage von Sabina nicht, wie diese Dateien mit gefaketem Installationsdatum aufgespürt werden können (die Antwort würde mich auch interessieren), wenn nicht mit datfind.bat.
Habe eine ganze Weile mit Win-Explorer herumprobiert, um zu einer Lösung zu kommen, bisher aber mit mäßigem Erfolg.
Mit einem DOS-Befehl geht das ja wohl auch nicht !? Hat jemand eine Idee?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#19 eine Idee:
http://virus-protect.org/Artikel/Tools/worc.html

installieren vor der Verseuchung, scannen (Registry mit anhaken)
und dann danach -->Vergleich

Zitat

Also, da wären noch eine ganze Menge anderer Dateien mit genau derselben Zeit (14:00 am 02.04.2003), die aber auf einem sauberen Windows auch vorhanden sind. Ich vermute, dass damit vorgetäuscht werden soll, die Dateien seien original von der Windows-CD.

welche Dateien sind das ? Kannst du eine vollstaendige Dokumentation machen?
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Die dürftest Du eigentlich auch haben, Sabina.

http://managor.de/security/dateien.txt

Jetzt müsste man nur noch ein PHP-Script schreiben, welches Formulareingaben mit der TXT vergleicht und ungleiche Einträge meldet. Hab aber gerade keine Idee, wie man das machen könnte.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#21 versuche es mal mit dem W.O.R.C
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Für die Lesbarkeit hab ich das Posting editiert und den Report hochgeladen:
http://managor.de/security/diff1.txt
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#23 Was mich jetzt etwas verwundert, die mcfCC4.dll ist nicht vorhanden. Allerdings die mcfdrv.sys (die ich manuell löschen konnte).

Nachdem ich mal die Verzeichnisse durchforstet habe, ist mir folgende Datei aufgefallen:

C:\Dokumente und Einstellungen\{Profil}\newwspreadz.exe

Dateigröße: 6,2 KB
MD5-Summe: a10f1b4a2941bfccf5c800b4761d2f1b
UPX: negativ

Virustotal: no virus found
Jotti: Found nothing

Allerdings weiß ich nicht, ob sie mit der Rechnung einhergegangen ist oder von einem vorigen Schadprogramm übriggelassen wurde. Ich werde es gleich nochmal probieren und melde mich dann wieder.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#24 Ich glaube nicht, dass die Methode Worc bei den hier ihre Probleme postenden Usern greift, da sie ja mit hoher Wahrscheinlichkeit kein Worc-Abbild ihres unverseuchten Systems haben.

Ich hätte da so eine Idee. Bei aktiver Malware müssen die entsprechenden Dateien ja jedesmal geöffnet werden, sonst kann die Malware nicht wirksam werden, und erscheinen dann in der Letzten-Zugriffs-Liste, unabhängig von dem echten oder gefaketen Installationsdatum, ganz oben bei entsprechender Sortierung.

Habe mal, als Beispiel für C:/windows/system32, ein kleines DOS-Programmchen geschrieben, das die Dateien geordnet nach dem Datum neueste zuerst) ihres letzten Zugriffs durch das System auflistet. Suchergebnisse könnte man ja, analog zu datfind.bat, in eine Datei umleiten und die User könnten die dann posten. Für die anderen Ordner wäre dann analog zu verfahren und das Ganze in Form einer Batch-Datei zur Verfügung zu stellen.

cd\
cd %windir%\system32
dir /t:a /a:-d /o:-d
pause
cls
exit

Wäre das ein Weg, Eure Probleme mit dem gefaketen Installations-Datum zu beheben?

Gruß
Heron

edit:
irgendwie stimmt das Seitenformat nicht mehr. Erleichtert nicht gerade das Lesen der Texte.
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#25 natuerlich ist das nicht fuer die User gedacht, sondern nur fuer uns...ich finde es einfach Klasse managor

arbeite weiter mit diesem Tool ...andere Sachen , wenn du Zeit und Nerven hast

Hallo@Heron

wir werden es ausprobieren
__________
MfG Sabina

rund um die PC-Sicherheit

#26 "/t:a" funktioniert allerdings nur auf NTFS-Systemen. Bei FAT und FAT32 kann man es vergessen. Außerdem wird die Liste tatsächlich nur nach dem letzten Zugriff sortiert, das Dateidatum wird nicht angezeigt und leider ist der letzte Zugriff auch kein Anhaltspunkt. Man müsste also auch hier selbst nachschauen, welche Dateien böse sein könnten.

Die newwspreadz.exe wurde nicht von der Ebay.pdf.exe erstellt.
Hier nochmal der Unterschied vom sauberen zum infizierten System:

http://managor.de/security/diff2.txt
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#27 wie waere es mit dem , @Managor

Zitat

http://www.securitymanager.de/magazin/news_h13364.html
Der Trojaner 'Bancban-FD', heute vom Antiviren-Spezialisten MicroWorld entdeckt, verbreitet sich per eMail als EXE-Datei im Anhang. Er ist ein Internet-Banking Spyware-Trojaner mit Backdoor- und DDoS-Absichten (Distributed Denial of Service).

Bancban-FD sendet sich selbst per MAPI (Messaging Application Programming Interface) im Anhang einer eMail als 'AntiVirus.exe' an andere PCs. Dafür sucht er alle Nachrichten im Posteingang, die mindestens ein Attachment haben und 'antwortet' diesen mit den folgenden Angaben:

Betreff: 'I thing you sent me a virus.. heres a cleaner'

Body: 'I took my computer to the shop and they ran this, and told me to send it to you.. hope this helps.'

Anhang: 'AntiVirus.exe'

Die Datei im Anhang ist eine Win32-Applikation, eine PE EXE-Datei und 180 KByte groß als UPX gezippte Version und 500 KByte groß als entpackte Datei. Das File ist in Delphi geschrieben.

Wird die infizierte Datei vom Benutzer gestartet wird folgender Text angezeigt:

Explorer
I reb00t
[OK]

__________
MfG Sabina

rund um die PC-Sicherheit

#28 Hab ich noch nicht, würde ich gern ausprobieren, aber derzeit hab ich Probleme mit meinem virtuellen PC *grml*

Das Emulations-Programm startet nicht mehr. Also muss ich wohl demnächst mal neuinstallieren oder so (muss ich eh, wenn ich neue Graka, MB, Proz etc. bekomme).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#29

Zitat

Managor postete
Hab ich noch nicht, würde ich gern ausprobieren, aber derzeit hab ich Probleme mit meinem virtuellen PC *grml*

Das Emulations-Programm startet nicht mehr. Also muss ich wohl demnächst mal neuinstallieren oder so (muss ich eh, wenn ich neue Graka, MB, Proz etc. bekomme).

Geduld ist eine Tugend... die Mail wird auch dich heimsuchen oder jemand von uns hier schickt sie dir (ordentlich bezeichnet hoffentlich) Ich nicht, da ich sicher in Portugal hocke, ich bekomme andere....
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Sorry,

daß ich hier die absoluten PC-Profis störe,
abermein G-Data Virenscanner packt es nicht,
den hier beschreibenen Trojaner zu entsorgen...

Könnte mir jemand (für den Laien verständlich)
mailen, was ich machen muß um den Trojaner
zu löschen.... mich nervt jedesmal die Meldung
meines Virenprogramms, daß ich was in Quarantäne
schieben soll, was dann doch nicht klappt.

MfG Jörg
MercedesVC@aol.com