Ich habe gerade die SD-Karte von der Samsung Digimax A402 in meinen Card-Reader gesteckt. Sobald ich auf die Karte zugreife findet mein Avira Antivir einen Wurm in der Datei "Data Administrator.exe" sowie "100SSCAM.exe", "101SSCAM.exe" usw...

Die "Data Admin."-Datei liegt im Root-Verzeichnis und die anderen Dateien liegen im jeweiligen DCIM-Ordner.

Die Vireninformationen vom Antivir geben folgende Info´s ab:

Zitat:

Name: Worm/VB.ay.2
Entdeckt am: 05/10/2005
Art: Worm
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Mittel
Schadenspotenzial: Mittel
Statische Datei: Ja
Dateigröße: 81.920 Bytes
MD5 Prüfsumme: 902792c0116adf49f55f111e82c81db0
VDF Version: 6.32.00.60 - Wed, 05 Oct 2005 16:44 (GMT+1)

General Verbreitungsmethode:
• Email
• Lokales Netzwerk


Aliases:
• Symantec: W32.Rontokbro.B@mm
• Mcafee: W32/Rontokbro.b@MM
• Kaspersky: Email-Worm.Win32.Brontok.a
• TrendMicro: WORM_RONTOKBRO.B
• Sophos: W32/Brontok-B
• Grisoft: I-Worm/VB.DV
• VirusBuster: I-Worm.Brontok.AO
• Eset: Win32/Brontok.B
• Bitdefender: Win32.Brontok.A@mm


Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Auswirkungen:
• Lädt eine schädliche Dateien herunter
• Verfügt über eigene Email Engine
• Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
• %home%\Local Settings\Application Data\csrss.exe
• %home%\Local Settings\Application Data\inetinfo.exe
• %home%\Local Settings\Application Data\lsass.exe
• %home%\Local Settings\Application Data\services.exe
• %home%\Local Settings\Application Data\smss.exe
• %WINDIR%\INF\norBtok.exe
• %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Eine Datei wird überschreiben.
– %Wurzelverzeichnis des Systemlaufwerks%\autoexec.bat

Mit folgendem Inhalt:
• pause




Es wird folgende Datei erstellt:

– %WINDIR%\Tasks\At1 Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://www.geocities.com/jowobot456/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar. Wird verwendet um einen Prozess zu verstecken.
Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "Tok-Cirrhatus"="%home%\Local Settings\Application Data\smss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Alter Wert:
• "DisableCMD"=%Einstellungen des Benutzers%
• "DisableRegistryTools"=%Einstellungen des Benutzers%
Neuer Wert:
• "DisableCMD"=dword:00000000
• "DisableRegistryTools"=dword:00000001

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Alter Wert:
• "NoFolderOptions"=%Einstellungen des Benutzers%
Neuer Wert:
• "NoFolderOptions"=dword:00000001

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Die Betreffzeile ist leer.


Body:
Der Body der Email ist folgender:

• BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
-- JowoBot &VM Community --


Dateianhang:
Der Dateiname des Anhangs ist folgender:
• Kangen.exe

Der Dateianhang ist eine Kopie der Malware.

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
• .HTM
• .HTML
• .TXT
• .EML
• .WAB
• .ASP
• .PHP
• .CFM
• .CSV
• .DOC


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
• PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
.OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
SATU


Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
• smtp.
• mail.
• ns1.

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:


– Es wird nach allen freigegebenen Verzeichnissen gesucht.

War die Suche erfolgreich so wird folgende Datei erstellt:
• %alle freigegebenen Verzeichnisse%.exe

Diese Dateien sind Kopien der eigenen Malware Datei
DoS Direkt nachdem die Malware gestartet wurde werden DoS Attacken gegen folgende Ziele gestartet:
• israel.gov.il
• playboy.com

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

und VirusTotal ergibt folgendes:

Zitat:

File Data_ADMINISTRATOR.exe received on 08.03.2008 20:41:35 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 34/35 (97.15%)

Antivirus Version Last Update Result
AhnLab-V3 2008.7.29.1 2008.08.02 Win32/Rontokbro.worm.81920
AntiVir 7.8.1.15 2008.08.01 Worm/VB.ay.2
Authentium 5.1.0.4 2008.08.03 W32/VB.MZ
Avast 4.8.1195.0 2008.08.03 Win32:Brontok
AVG 8.0.0.156 2008.08.03 I-Worm/VB.DV
BitDefender 7.2 2008.08.03 Win32.Brontok.A@mm
CAT-QuickHeal 9.50 2008.08.02 I-Worm.Brontok.a
ClamAV 0.93.1 2008.08.03 Worm.Brontok.B
DrWeb 4.44.0.09170 2008.08.03 BackDoor.Generic.1138
eSafe 7.0.17.0 2008.08.03 -
eTrust-Vet 31.6.6002 2008.08.02 Win32/Robknot.DG
Ewido 4.0 2008.08.03 Worm.Brontok.a
F-Prot 4.4.4.56 2008.08.03 W32/VB.MZ
F-Secure 7.60.13501.0 2008.08.03 Email-Worm.Win32.Brontok.a
Fortinet 3.14.0.0 2008.08.03 W32/Brontok.A@mm
GData 2.0.7306.1023 2008.08.03 Email-Worm.Win32.Brontok.a
Ikarus T3.1.1.34.0 2008.08.03 Email-Worm.Win32.Brontok.N
K7AntiVirus 7.10.402 2008.08.02 Email-Worm.Win32.Brontok.a
Kaspersky 7.0.0.125 2008.08.03 Email-Worm.Win32.Brontok.a
McAfee 5352 2008.08.01 W32/Rontokbro.b@MM
Microsoft 1.3807 2008.08.03 Worm:Win32/Brontok.FFD
NOD32v2 3322 2008.08.03 Win32/Brontok.B
Norman 5.80.02 2008.08.01 W32/Rontokbro.B@mm
Panda 9.0.0.4 2008.08.03 W32/Rontok.B.worm
Prevx1 V2 2008.08.03 Worm
Rising 20.55.62.00 2008.08.03 Worm.Mail.Brontok.cu
Sophos 4.31.0 2008.08.03 W32/Brontok-B
Sunbelt 3.1.1537.1 2008.08.01 Email-Worm.Win32.Brontok.a
Symantec 10 2008.08.03 W32.Rontokbro.B@mm
TheHacker 6.2.96.392 2008.08.02 W32/Brontok.a
TrendMicro 8.700.0.1004 2008.08.01 WORM_RONTOKBRO.B
VBA32 3.12.8.2 2008.08.02 Email-Worm.Win32.Brontok.a
ViRobot 2008.8.1.1321 2008.08.01 I-Worm.Win32.Brontok.81920
VirusBuster 4.5.11.0 2008.08.02 Worm.Brantok.L
Webwasher-Gateway 6.6.2 2008.08.03 Worm.VB.ay.2

Additional information
File size: 81920 bytes
MD5...: 11c8a4a807073ccf7734288293c50407
SHA1..: a33b75ae6341aa6f7a4f76dd6a4d362e961b4b91
SHA256: 5d38f92c9abb73d1d3ebbd22047561d43810099aab0c66bc4d2d29c2492dc4fb
SHA512: e1e6eafc5f2a3a33a72a132013fcae06b4729dbaf82c96bcb61b5ce22c2ea204
a5dca73ea57ac83726f17499f779697d01458aa3f476876595731ed0fdedf663
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401178
timedatestamp.....: 0x433a0825 (Wed Sep 28 03:04:05 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe440 0xf000 4.85 49f7029d70920d7b68e4e9db32fad2e6
.data 0x10000 0xc3c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x11000 0x3070 0x4000 0.00 ce338fe6899778aacfc28414f2d9498b

( 1 imports )
> MSVBVM60.DLL: -, -, MethCallEngine, -, -, -, -, -, EVENT_SINK_AddRef, -, -, DllFunctionCall, EVENT_SINK_Release, -, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=E86DE8F100F55EA84031019B902CCE0086A5D2E0

Hat jemand schon was ähnliches gehört, gesehen, gelesen, daß das normal ist. Hab beim googeln nichts gefunden.

Gruß koech

P.S. Mein erster Post hier, hab ich das mit den Textfeldern (QUOTE) richtig gemacht oder postet man die Info´s mit einem anderen Befehl?

Hallo und

Bitte formatier die Speicherkarte in der Digicam und erstell ein HijackThis Logfile von deinem Computer.

War leider nicht meine Camera. Darum kann ich jetzt auch kein Logfile mehr senden...

Trotzdem danke...