Wurm für Windows Live Messenger

[Stromer92]

Gestern bin ich mal wieder über einen Windows Live Messenger- Wurm gestolpert.

Infizierte Computer versenden automatisch eine Nachricht. Die kann in etwa so aussehen:

haha, your pics?? http://msn.facebook-images.us/?=[WL Adresse]

Klickt man auf den Link, so soll man eine Exe-datei mit dem Namen IMG9513610430503019207-JPG.EXE runterladen.
Möglicherweise kann er auch andere Dateinamen haben.

Sobald diese Datei geöffnet wird, aktiviert sich der Virus. Das Ding ist allerdings nicht sehr Clever. Entfernen lässt es sich sehr einfach wie folgt:

• Taskmanger öffnen (Bis XP: CTRL+ALT+DEL, ab Vista: CTRL+SHIFT+ESC)

• Zum Reiter Prozesse wechseln und den Prozess mit dem Dateinamen suchen (z.b. IMG9513610430503019207-JPG.EXE)

• Die Datei rechtsklicken und Dateipfad öffnen klicken (Falls nicht vorhanden, ins Standartdownloadverzeichnis des Browsers gehen)

• Den Prozess auswählen und Prozess beenden klicken

• Die Datei löschen

 

[jodelboy]

Und was nützt das genau dem Internet-Kriminellen, der den "Virus" erstellt hat? Installiert der sonst noch Zeugs auf dem PC?

Ich hab gestern seeeehr viele Nachrichten im Windows Live Messenger bekommen. Ich hab gestaunt, dass die auch schon "schwitzerdütsch" sprechen können :D

hoi, bisch du das ufm foti?? http://my[DOT]facebook-images[DOT]us/?=[MEINE_ADRESSE]@hotmail.com

Würde mich noch interessieren, ob der sonst noch was anderes macht als von meinem PC aus unschuldige Leute zuzuspammen...

 

[Stromer92]

Und was nützt das genau dem Internet-Kriminellen, der den "Virus" erstellt hat? Installiert der sonst noch Zeugs auf dem PC?

Ich hab gestern seeeehr viele Nachrichten im Windows Live Messenger bekommen. Ich hab gestaunt, dass die auch schon "schwitzerdütsch" sprechen können :D



Würde mich noch interessieren, ob der sonst noch was anderes macht als von meinem PC aus unschuldige Leute zuzuspammen...

Ehrlich gesagt, denke ich nicht, dass es um mehr geht als einen lächerlichen Scherz. Das Amatuerhafte auftreten des Dings (einfach so im Taskmanager) deutet für mich darauf hin, dass es eher irgendwie ein Joke sein soll...
Aber ich hatte das Ding nicht selbst auf dem PC und werds lieber auch sein lassen, also keine Ahnung wies mit langzeitfolgen aussieht.

Dass das ding Schweizerdeutsch kann, habe ich auch erfahren, obwohl ichs fast nicht glauben konnte :D

 

[R.A.M]

diese "Viren" sind immer lustig.
erstaunlich, wie viele darauf reinfallen...

 

[Larusso]

@crysisgamer

Du kannst mir die Datei schicken, gezippt mit Passwort bitte. EInfach die Zipfile bei einem filehoster uploaden, und mir den DownloadLink inkl PW via Pm schicken. Ich werd dann mal ein Paar Kollegen ran lassen. :)

Wenn dein System Probleme macht, sag einfach bescheid dann schau ich mir das an. Dazu bitte einen eigenen Thread aufmachen.

Das auftreten im Taskmanager ist keinefalls amateurhaft, jedoch das er sich einfach so beenden lässt schließt nicht gerade ein, dass sich da jemand sehr viel mühe gegeben hat. ;)

 

[M.Ä.N.E]

Vielleicht ist die .exe nur eine Träger und der Trojaner(Avast sagt:"Win32:Zbot-MOY [Trj]") ist unter einem anderen nahmen im Task-Manager beispiel svchost.exe! Die img...jpg.exe bräuchte ja nur sekunden bruchteile um einen neuen prozess zu starten und den zu tarnen und dann einfach so nichts mehr zu machen. Und dann die ...jpg.exe löschen würde ja dann auch nicht gerade viel bringen. So ist es entweder wirklich nur ein Joke oder jemand hat sich mühe gegeben, was ich eig nicht glaube. Wollte nur mal diesen Einwand bringen da offensichtlich viele diesen Aspekt vergessen. Fals jemanden interesiert hier die scannes der Datei: http://www.virustotal.com/de/analis...fc46d553af68100d8def64b331a8b4921d-1264543857

P.S hab den link auch bekome ein mal auf English("Your pic?..." oder so was) und einmal auf schweizerdeutsch. xD

 

[Gaby Salvisberg]

Vielleicht ist die .exe nur eine Träger und der Trojaner(Avast sagt:"Win32:Zbot-MOY [Trj]") ist unter einem anderen nahmen im Task-Manager beispiel svchost.exe! Die img...jpg.exe bräuchte ja nur sekunden bruchteile um einen neuen prozess zu starten und den zu tarnen und dann einfach so nichts mehr zu machen. Und dann die ...jpg.exe löschen würde ja dann auch nicht gerade viel bringen.

Genau so sehe ich das auch. Die ursprüngliche *.exe-Datei ist nur ein "Dropper" bzw. eben das Trojanische Pferd. Wenn man bloss das Holzpferd vernichtet, haben sich die daraus entsprungenen Griechen bereits in Trojas edlen Mauern verbreitet.

Ich vermute mal: Wer so ein File ausgeführt hat, der ist ein Fall für "Formatieren und neu installieren" oder allermindestens ein Fall für eine Kur von Larusso ;)

Gruss
Gaby

 

[Larusso]

Genau so sehe ich das auch. Die ursprüngliche *.exe-Datei ist nur ein "Dropper" bzw. eben das Trojanische Pferd. Wenn man bloss das Holzpferd vernichtet, haben sich die daraus entsprungenen Griechen bereits in Trojas edlen Mauern verbreitet.

Das ist auch der Grund warum im Internationalen Bereich eine Software Firewall quasi als Pflicht gesehen wird.
Und gegen die dort, bin ich noch sehr klein. Ich lerne ja gerade von MVPs ;)

 

[killer_91]

Ein Vorteil auf alle Fälle hat's.
Die Antivierenprogramme erkennen den Schadcode sofort.
Habs mit dem MS Security Essentials ausporbiert.
Innerhalb von Sekunden hatte er den Virus.

Aber mich hat es auch relativ verwundert als das Ding Schweizerdeutsch konnte :D

 

[ACDoyle]

Also, ich hab mir den Virus wohl auch eingefangen.

Ich habe die Dateien verschwinden lassen. Mein Antvir erkennt nichts. Habe mir auch ein spezielles Programm für MSN-Viren besorgt. Dieses fand im Speicher nichts. Da ich den MSN-Messenger nicht benutze, sondern Trillian, hatte der Virus wohl ein Problem, sich fortzupflanzen.

Solte also alles schön und toll sein... Problem ist aber, dass sich nun andauernd der Windows-Live Messenger meldet und mich gern anmelden möchte. Beenden hilft da auch nur begrenzt was.

Kann mir eventuell jemand weiterhelfen? Weiß schon jemand, was das für ein Wurm ist und wie er restlos zu entfernen ist?

Ich kann auch gern Ich habe auch die Wurmdatei noch auf dem Rechner gespeichert, allerdings nicht ausgeführt. Auf Wunsch lade ich diese hoch und schicke den Link. Es handelt sich um eine Com-Datei (pict20942.jpg-facebook-gallery.com). Leider kann ich diese nicht explizit mit AntiVir überprüfen, sollte aber eigentlich automatisch erfolgen, sobald ich den Ordner öffne.

MfG AC

 

[Gaby Salvisberg]

Hallo ACDoyle - und willkommen im PCtipp-Forum :)

Also wenn du das File schon irgendwohin hochladen willst, dann ausschliesslich bei http://www.virustotal.com. Dort wird es mit mehreren Virenscannern geprüft. Da kann man ev. auch was darüber herausfinden, um was für ein Viech es sich da handelt. Niemals (bitte niemals) ein solches File an irgend einen User weiterleiten. Das ist aber auch gar nicht nötig.

Wenn sich bei dir der Messenger immer wieder meldet, dann muss irgend eine Schädlingsdatei bereits auf deinem System aktiv sein. Von irgendwo muss ja der Impuls an den Messenger kommen.

Ich persönlich bin zwar in solchen Fällen eher für eine komplette Neuinstallation von Windows auf eine frisch formatierte Festplatte. Wenn das für dich nicht in Frage kommt, könnte man zumindest versuchen, das Viech loszuwerden.

Ich schlage vor, du wartest mal, bis Larusso sich meldet. Er hat ein paar Tricks auf Lager, mit denen man Malware auf die Schliche kommt und sie entfernt.

Gruss
Gaby

 

[ACDoyle]

Vielen Dank für den Tipp und die herzliche Begrüßeung .

VirusTotal hat mir folgende Ergebnisse ausgespuckt.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.02.03 Backdoor.Win32.SdBot!IK
AhnLab-V3 5.0.0.2 2010.02.03 -
AntiVir 7.9.1.158 2010.02.03 -
Antiy-AVL 2.0.3.7 2010.02.03 -
Authentium 5.2.0.5 2010.02.03 -
Avast 4.8.1351.0 2010.02.02 -
AVG 9.0.0.730 2010.02.03 -
BitDefender 7.2 2010.02.03 -
CAT-QuickHeal 10.00 2010.02.03 -
ClamAV 0.96.0.0-git 2010.02.03 -
Comodo 3809 2010.02.03 -
DrWeb 5.0.1.12222 2010.02.03 BackDoor.IRC.Sdbot.4763
eSafe 7.0.17.0 2010.02.03 -
eTrust-Vet 35.2.7278 2010.02.03 -
F-Prot 4.5.1.85 2010.02.03 -
F-Secure 9.0.15370.0 2010.02.03 -
Fortinet 4.0.14.0 2010.02.03 -
GData 19 2010.02.03 -
Ikarus T3.1.1.80.0 2010.02.03 Backdoor.Win32.SdBot
Jiangmin 13.0.900 2010.02.03 -
K7AntiVirus 7.10.966 2010.02.03 -
Kaspersky 7.0.0.125 2010.02.03 Backdoor.Win32.SdBot.rcc
McAfee 5881 2010.02.03 -
McAfee+Artemis 5881 2010.02.03 -
McAfee-GW-Edition 6.8.5 2010.02.03 -
Microsoft 1.5406 2010.02.03 -
NOD32 4832 2010.02.03 a variant of Win32/Injector.AUR
Norman 6.04.03 2010.02.03 -
nProtect 2009.1.8.0 2010.02.03 -
Panda 10.0.2.2 2010.02.03 Suspicious file
PCTools 7.0.3.5 2010.02.03 -
Prevx 3.0 2010.02.03 High Risk Cloaked Malware
Rising 22.33.02.04 2010.02.03 -
Sophos 4.50.0 2010.02.03 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.02.03 -
TheHacker 6.5.1.0.179 2010.02.03 Backdoor/SdBot.rcc
TrendMicro 9.120.0.1004 2010.02.03 -
VBA32 3.12.12.1 2010.02.03 -
ViRobot 2010.2.3.2170 2010.02.03 -
VirusBuster 5.0.21.0 2010.02.03 -

Kannst du damit schon etwas anfangen?

MfG AC

 

[Gaby Salvisberg]

Hi ACDoyle

Backdoor.Win32.SdBot sind Remote-Access-Trojaner. Die öffnen Hintertüren, über die jemand den PC fernbedienen, damit Spam verschicken oder weiteres schädliches Material einschleusen und verbreiten könnte. Mit sowas ist nicht zu spassen.

Jetzt ist nur die Frage, wieviel davon sich bei dir bereits installieren konnte (die bestehen oft aus mehreren Komponenten). Die Tatsache, dass sich immer wieder grundlos der Messenger meldet, ist ein recht deutliches Symptom, dass da "etwas" aktiv ist. Wie gesagt, an deiner Stelle würde ich die Kiste vorsichtshalber plattmachen und neu aufsetzen.

Aber vielleicht hat Larusso eine bessere Idee.

Gruss
Gaby

 

[Larusso]

Hm nettes Kerlchen. Lese Dir einmal folgendes bitte genau durch.

Backdoor Warnung

Dein Computer ist mit einer sog. Backdoor (Hintertür) infiziert. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" glauben, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist.

Bitte trenne den Rechner während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit die Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädlingen können alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch mitloggen der Tastatur-Eingaben ausspionieren. Bis zur Beendigung der Bereinigung Deines Systems kein Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder trotz obiger Warnung eine Bereinigung vorziehst.

 

[ACDoyle]

Ich ziehe vorerst eine Bereinigung vor.

Ich wüsste allerdings erstmal gern, wie weit der Virus mein System mittlerweile infiziert hat. Würde gern herausfinden, was da genau im Hintergrund läuft.

MfG AC

 

[Larusso]

Ich wüsste allerdings erstmal gern, wie weit der Virus mein System mittlerweile infiziert hat.

Meine Glaskugel ist gerade in der Reinigung :D


Hallo und Willkommen auf PcTipp :)

Bitte arbeite jeden Schritt der Reihe nach ab.
Sollte es Probleme geben, stoppen und hier so genau als möglich berichten.
Bitte alles in Deinen Admin Konto ausführen, nicht in einen eingeschränkten Benutzerkonto.

Vista und Win7 User: Bitte alle Tools mit Rechtsklick: als Admin Starten ausführen.

Manche Logfiles sind ziemlich lange. Sollte es zu folgender Fehlermeldung kommen:
Der Text, den du eingegeben hast, besteht aus xxx Zeichen und ist damit zu lang. Bitte kürze den Text auf die maximale Länge von 15000 Zeichen.
Lade die Logfile bitte als Anhang oder bei File-Upload hoch.


[size=+1]Schritt 1[/size]

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  
  Textbox.

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
/md5stop
c:\windows\system32\drivers\*.sys /lockedfiles
c:\windows\system32\*.dll /lockedfiles
%systemroot%\*. /mp /s
%PROGRAMFILES%\*.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf
  
  .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

[size=+1]Schritt 2[/size]

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile hier posten.


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt
Gmer Logfile

 

[ACDoyle]

Joa, der OTL-Teil war erfolgreich... Dieses gmer Ding meinte, es hätte ein Problem und müsse beendet werden -.- Sagt dir das was?

MfG AC

 

[Larusso]

EIn bisschen was wurde schon verwüstet. Ist das ein Firmenrechner ?

 

[ACDoyle]

Nein, mein Prvatrechner... Allerdings sehr speziell eingerichtet. Würde wieder Wochen dauern, den neu aufzusetzen -.-

 

[Larusso]

Ich denke mal du hast nicht selber den Taskmanager und regedit abgestellt oder ;)


Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

• BleepingComputer
• ForoSpyware

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
  • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
  • Bitte füge das C:\ComboFix.txt Log in deiner nächsten Antwort ein, so dass wir diese analysieren können.