Trojaner-Board - Gefälschte Ebay Nachricht im Umlauf

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Gefälschte Ebay Nachricht im Umlauf (https://www.trojaner-board.de/21740-gefaelschte-ebay-nachricht-umlauf.html)

Gefälschte Ebay Nachricht im Umlauf

Gefälschte Ebay-Rechnung im Umlauf
12. Sep 2005, 14:06 Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender vor dem neuen Trojaner TR/Dldr.Agent.uf. Dieser Trojaner tarnt sich, ähnlich wie seine Vorgänger, als Rechnung – diesmal von Ebay. Er wurde heute Nacht in deutscher Sprache an viele Anwender in ganz Deutschland verschickt.

Der 11.213 Bytes große Trojaner-Downloader TR/Dldr.Agent.uf hat keine eigene Versandroutine, sondern wurde direkt versendet. Sein Ziel ist es, von verschiedenen Webseiten einen Peer-To-Peer-Wurm auf den befallenen Rechner herunterzuladen. Zum gegenwärtigen Zeitpunkt befindet sich dieser Peer-To-Peer-Wurm noch in der genauen Analyse der Antivirenspezialisten.

Die angebliche Ebay-Rechnung hat folgendes Aussehen:

Von: kundensupport@ebay.de
Betreff: 7 Tage bis Ihre Kontosperrung
Dateianhang: Ebay-Rechnung.pdf.exe

Der Textbody ist eine raffiniert gestaltete HTML-E-Mail, die den Eindruck erweckt, sie komme von Ebay selbst. Es wird allen Anwendern empfohlen, diese E-Mails nicht zu öffnen, sondern sofort zu löschen und den jeweiligen Anti-Virenschutz auf den neuesten Stand zu bringen. Besonders Ebay-Kunden sollten sich von der warnenden Betreffzeile nicht zum Anklicken der E-Mail verleiten lassen, da die Gefahr besteht, dass weitere virulente Dateien aus dem Internet nachgeladen werden und das eigene System von den Schadprogrammen modifiziert wird.

Hier mal ein paar Infos aus der Symantec-Analyse:

Zitat:

Payload:
Downloads and executes remote files on the compromised computer.
Payload:
Lowers security on the compromised computer by modifying internet
security settings.

Symptoms
- --------
Presence of the following files:
%System%\ipwf.exe
%System%\drivers\winut.dat
ebay-rechnung.pdf.exe

Presence of the following registry entries: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"IPFW" =
"%System%\ipwf.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[CURRENT
FILE]" = "[CURRENT FILE]:*:Enabled:[CURRENT FILE]" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\ip
wf.exe" = "%System%\ipwf.exe:*:Enabled:ipwf"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\"WindowsShell
" = "1"

Technical Description
- ---------------------
Renamed from Trojan.Downloader.UC

Trojan.Schoeberl is a Trojan horse that downloads and executes remote
files.

This threat was spammed out by email as an attachment with the name
ebay-rechnung.pdf.exe

Once executed, the Trojan creates a copy of itself as %System%\ipwf.exe.

The Trojan also drops the file %System%\DRIVERS\winut.dat

The Trojan then creates the following registry entries so that it runs
every time Windows starts: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"IPFW" =
"%System%\ipwf.exe"

The Trojan also creates the following registry entries to add itself to
the Internet Connection Firewall bypass list:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[CURRENT
FILE]" = "[CURRENT FILE]:*:Enabled:[CURRENT FILE]" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Paramete
rs\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\ip
wf.exe" = "%System%\ipwf.exe:*:Enabled:ipwf"

Next, the Trojan attempts to download a text file from the following
URLs:
[AUS SICHERHEITSGRÜNDEN EDITIERT !]

The text file contains encrypted URLs.

Next, the Trojans decrypts the URLs and saves them to the following file:
%System%\drivers\winut.dat

The Trojan the attempts to connect to the URls and download execute a
file.
At the time of writing the file downloaded is W32.Starimp (MCID 5800)

Next, the Trojan ends processes having one of the following name, some of
which may be security-related:
ZAPRO
zonealarm
armor2net
tpfw
NPROTECT
MpfService
kpf4gui
kpf4ss
firewall
ccapp
amon

Finally, the Trojan creates the following registry entry to store its
status: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\"WindowsShell
" = "1"

Hier hatten wir schon einen solchen Fall im Forum. Jedoch wurde die Datei von Kaspersky als sauber eingestuft. War die Datei wirklich sauber, "kaputt" oder hat sich der Spezialist bei Kaspersky vertan?

Scheint etwas kompliziert zu sein die ganze Geschichte...
Heute morgen 11:18 hatte ich eine Warnung von Symantec im Kasten, welche den gleichen Trojaner als Trojan.Downloader.UC meldete.
'Komischerweise' war da von Ebay bzw. einem PDF noch keine Rede.

Um 17:36 hatte ich dann die Meldung, aus der mein obiges Zitat ist, mit dem Hinweis dass die Malware nach Trojan.Schoeberl umbenannt wurde...

Auch Trendmicro hat ihn umbenannt, von

WORM_RECHNUNG.A in WORM_GOLDUN.A

Link

Und ich muß mich etwas korrigieren:

Die Malware, die man sich zunächst einfängt ist folgende:

http://www.trendmicro.com/vinfo/viru...BE%2EA&VSect=P

Diese führt dann aber letzendlich zur Infektion mit dem im vorigen Link genannten.