Hallo liebes Norton-Team,
ich hab ein neues schönes Virus vom Kollegen bekommen.
ewyiylvh.h2127755.stratoserver.net/Pia%20Sophie%20Jaja. jpeg [Anm. Admin Link gelöscht]
ich hab ein neues schönes Virus vom Kollegen bekommen.
ewyiylvh.h2127755.stratoserver.net/Pia%20Sophie%20Jaja. jpeg [Anm. Admin Link gelöscht]
(Der Name ist das Opfer vom Facebook)
Szenario:
Die Schwester meines Kumpels, bekam diesen Link von ihrem Freund über Facebook (anscheinend ein FB-Virus) und hat mein Kumpel darum gebeten, diese zu öffnen. Als er es tat, bemerkte er, dass sein Rechner stark ausgelastet wurde und er bekam ständig eine Fehlermeldung. Aus Sicherheitsgründen, hat er sein Rechner, vom Netzwerk gekappt und versuchte, den Virus, manuell zu entfernen (erfolglos). Er bat mich darum, diese Datei zu öffnen (über Telefon) was ich auch Tat aber in meiner STARK EINGESCHRÄNKTEN Virtuellen Maschine (hab ein Video in Youtube hochgeladen, wie ich es gemacht habe -> ThePrinzKassad). Ich konnte den Virus leider nicht komplett starten, da beihnahe jede Aktion mit mein System, Rechte benötigte und ich diese komplett entzogen habe, somit kann ich nicht viel sagen, was das für ein Virus ist aber ich kann sagen, was ich gefunden habe:
Virus:
Keine IDE Festellbar (kein c++, vb, ... nur eine zip sfx)
Wenn diese Datei entpackt wird, dann erhält man 3 .xml Dateien, die kein zusammenhang ergeben
Wird der Virus aktiviert, so erhält man ein Fehler "ERROR Could not load data"
Der Virus erstell im C:\drivers\ eine Datei namens attrib.exe und fsquirt.exe
Der Virus selber, löscht sich
attrib.exe und fsquirt.exe erstellen jeweils ein Temp und löschen diese auch, sowie sich selbst
Im C:\Windows tauchen 2 Dateien auf (rasdial.exe und tasklist.exe)
Tasklist.exe tauchte nur kurz auf und verschwand (auch mit Adminrechte)
rasdial.exe startet den Internet Explorer durch die svchost.exe und versucht anscheinend etwas herunterzuladen (ich habe ebenfalls mein Netzwerk gekappt, da ich keine Schäden verursachen will.
Beide Dateien fügen sich 2 mal in die Autostart ein und reaktivieren sich immer von selbst (anscheinend haben sie auch ein Dienst erstellt)
Alle 5 genannte Dateien, sind laut PeiD 0.95, ZIP SFX.
Ich hoffe, ihr findet was heraus, er verbreitet sich anscheinend über Facebook mit den Namen des Opfer. Ich gehe STARK davon aus, dass rasdial.exe, versucht hat, den eigentlichen Virus herunterzuladen, da ja ieexplorer.exe nicht ohne grund startet und das von svchost.exe.
mit freundlichen grüßen
Pascal W.
Szenario:
Die Schwester meines Kumpels, bekam diesen Link von ihrem Freund über Facebook (anscheinend ein FB-Virus) und hat mein Kumpel darum gebeten, diese zu öffnen. Als er es tat, bemerkte er, dass sein Rechner stark ausgelastet wurde und er bekam ständig eine Fehlermeldung. Aus Sicherheitsgründen, hat er sein Rechner, vom Netzwerk gekappt und versuchte, den Virus, manuell zu entfernen (erfolglos). Er bat mich darum, diese Datei zu öffnen (über Telefon) was ich auch Tat aber in meiner STARK EINGESCHRÄNKTEN Virtuellen Maschine (hab ein Video in Youtube hochgeladen, wie ich es gemacht habe -> ThePrinzKassad). Ich konnte den Virus leider nicht komplett starten, da beihnahe jede Aktion mit mein System, Rechte benötigte und ich diese komplett entzogen habe, somit kann ich nicht viel sagen, was das für ein Virus ist aber ich kann sagen, was ich gefunden habe:
Virus:
Keine IDE Festellbar (kein c++, vb, ... nur eine zip sfx)
Wenn diese Datei entpackt wird, dann erhält man 3 .xml Dateien, die kein zusammenhang ergeben
Wird der Virus aktiviert, so erhält man ein Fehler "ERROR Could not load data"
Der Virus erstell im C:\drivers\ eine Datei namens attrib.exe und fsquirt.exe
Der Virus selber, löscht sich
attrib.exe und fsquirt.exe erstellen jeweils ein Temp und löschen diese auch, sowie sich selbst
Im C:\Windows tauchen 2 Dateien auf (rasdial.exe und tasklist.exe)
Tasklist.exe tauchte nur kurz auf und verschwand (auch mit Adminrechte)
rasdial.exe startet den Internet Explorer durch die svchost.exe und versucht anscheinend etwas herunterzuladen (ich habe ebenfalls mein Netzwerk gekappt, da ich keine Schäden verursachen will.
Beide Dateien fügen sich 2 mal in die Autostart ein und reaktivieren sich immer von selbst (anscheinend haben sie auch ein Dienst erstellt)
Alle 5 genannte Dateien, sind laut PeiD 0.95, ZIP SFX.
Ich hoffe, ihr findet was heraus, er verbreitet sich anscheinend über Facebook mit den Namen des Opfer. Ich gehe STARK davon aus, dass rasdial.exe, versucht hat, den eigentlichen Virus herunterzuladen, da ja ieexplorer.exe nicht ohne grund startet und das von svchost.exe.
mit freundlichen grüßen
Pascal W.