Win32:poison-GP [Trj]

Anonym_3f767aa3647e · 12. August 2008 um 21:18

Hallo,
mein Bruder hat im StudiVZ eine Nachricht bekommen, dass
bei dem Link irgendwelche Bilder sind, dann hat er draufgeklickt
und eine CIMG_72361.scr runtergeladen.
Dann hat er auch noch drauf geklickt.
Sein Avira Free hat nichts erkannt.
Bei Analyseversuchen wurde von meinem Avast sofort Alarm geschlagen
und ich bekam die Bezeichnung Win32:stuck_out_tongue:oison-GP [Trj].

Virustotal:
http://www.virustotal.com/de/analisis/e6b393a1df93c4…

Anubis:
http://anubis.iseclab.org/result.php?taskid=73703ba0…

Sein Betriebssystem:
Windows Vista

An Avira habe ich die angebliche Malware auch geschickt beim öffnen kam nur eine Fehlermeldung. Was meint ihr?

Übrigens wie kann ich unter Vista eine cmd.exe öffnen? Und eventuell checken ob das Teil versucht sich wohin zu verbinden?

Der Absender sagte später, dass er die Nachricht nicht geschickt habe, diese also von einem anderen verschickt werden musste wie etwa von einer Malware oder er hat gelogen.

Anonym_028940377b35 · 12. August 2008 um 23:13

Hallo Thunderfox

mein Bruder hat im StudiVZ eine Nachricht bekommen, dass bei dem Link
irgendwelche Bilder sind, dann hat er draufgeklickt und eine
CIMG_72361.scr runtergeladen. Dann hat er auch noch drauf geklickt.

Dann darfst Du ihn jetzt hauen. Er hat seinen Rechner erfolgreich kompromittiert.

Sein Avira Free hat nichts erkannt.

Damit hat er am eigenen Leib erlebt, wie wenig man sich auf Virenscanner verlassen kann. Nämlich gar nicht.

Bei Analyseversuchen wurde von meinem Avast sofort Alarm
geschlagen und ich bekam die Bezeichnung Win32:stuck_out_tongue:oison-GP [Trj].

Wie Du an der Analyse von Virus Total erkennst, nennt jeder AV-Hersteller das Zeug anders. Wobei ‚Trojan‘, ‚Dropper‘ und ‚Backdoor‘ mehrfach auftauchen. Was relativ eindeutig sein dürfte, was dieses Teil anrichtet: Dein Bruder ist nicht mehr Herr seines PC. Er kontrolliert noch, wann er ihn ein- und ausschaltet. Sobald er aber online ist, wird sein Rechner von jemand anders kontrolliert.

Übrigens wie kann ich unter Vista eine cmd.exe öffnen?

Gib mal im Suchfeld des Startmenüs ‚cmd‘ ein. Dann öffnet sich die Kommandozeile. Was im Prinzip das gleiche ist, wie unter Win9x die ‚MS-DOS Eingabeaufforderung‘.

Und eventuell checken ob das Teil versucht sich wohin zu
verbinden?

Was gibt es da zu checken? Das Ding hat eine Backdoor eingerichtet und lädt weiteren Schadcode nach.

Dein Bruder darf daher den Rechner vom Netz nehmen, flach machen und neu aufsetzen. Und das umgehend.

Der Absender sagte später, dass er die Nachricht nicht
geschickt habe, diese also von einem anderen verschickt werden
musste wie etwa von einer Malware oder er hat gelogen.

Ich kenne das StudiVZ nicht selber. Aber ich vermute mal, es ist relativ trivial, Nachrichten mit beliebigen Absendern zu versenden. Angesichts der steigenden Beliebtheit von solchen Seiten kannst Du davon ausgehen, dass solche Missbräuche immer wieder vorkommen werden.

Im Umgang mit E-Mails, aber auch Nachrichten in solchen Portalen, gilt daher immer folgendes:

Vor Inbetriebnahme des Klickfingers unbedingt Gehirn einschalten.

Alles, was per E-Mail oder auf so einem Weg wie bei StudiVZ hereinkommt, ist grundsätzlich als gefährlich/verseucht zu behandeln. Dann muss zuerst geklärt werden, um was es sich handelt, von wem es stammt etc. Wurm-Mails etwa, die mit der Adresse eines Bekannten als Absender daherkommen, kann man häufig daran erkennen, dass der Mailtext auf englisch ist oder es vom Stil her nicht die Schreibe der Person ist, die als Absender da steht.

CU
Peter

Anonym_3f767aa3647e · 12. August 2008 um 23:43

Hallo,
naja ich bin dabei vorsichtig. Virenschutze machen ebenfalls Heuristikfehler oder erkennen Datein durch falsche Signaturen als Fehlalarm.
Ich warte zunächst den individuellen Avira Check aber, der meistens 3 Tage dauert.
Was du gesagt hast, weiß ich nur eben andere nicht, weil die wiederrum wie mein Bruder und seine Freunde glauben, es sei zu kompliziert oder nur Computer"freaks" kennen sich damit aus. Naja lassen wir es dabei, denn jeder sollte wissen, dass man es damit vergleichen kann, dass Leute auch ohne Führerschein auf die Straßen dürften.

Ich kann es denen tausend mal sagen und die machen es trotzdem. Wahrscheinlich hätte er sogar auf eine .exe geklickt. Erschreckend ist nur, dass der Absender also der Freund von meinem Bruder gesagt hat, er habe vielleicht einen Virus und das es daran liegen könnte. Doch was machen die? Nichts! Und infizieren so ihre eigenen Freunde. Weißte solchen Leuten wünsche ich, dass deren sämtliche Passwörter wie ICQ und Mail geändert werden, denn erst dann erkennen die was Sache ist.

Gut genug meiner Worte. Ich warte die Avira Analyse ab. Aus dem Internet werde ich ihn sperren, wer weiß ob das Teil einen Sniffer integriert hat. Wenn die Analyse infiziert lautet, werde ich in meinem IT Security Blog darüber berichten, (auch wenn es immer die gleichen Maschen und Hintergedanken der Angreifer sind) und ihm sagen, dass er seinen Laptop formatieren kann, was er nicht kann und ich das erledigen soll, was ich jedoch ablehnen werde, da ich in der Berufsschule momentan lange genug zu schuften habe^^.

Danke für die Hilfe, wenn wer das Ergebnis wissen will, bitte melden damit ich es nicht vergesse.

deconstruct · 13. August 2008 um 00:57

Ich warte zunächst den individuellen Avira Check aber, der
meistens 3 Tage dauert.

Schau:

Die Datei heisst „zufällig“ CIMG_1234.scr, genauso wie Bilder von einer Digicam, nur eben mit dem Unterschied, dass die Datei nicht auf .jpg endet. Die Endung .scr beinhaltet Programme, JPG-Dateien dagegen keine. Es soll also offensichtlich eine Täuschung über den Inhalt gemacht werden.
SCR Dateien werden gerne von Würmern und Trojaner als Format gewählt, da sie unscheinbarer als EXE sind, aber trotzdem ausführbare Programme beinhalten.
Der Absender selbst hat die Datei nach eigenen Angaben nicht verschickt, kommt also z.B. ein Wurm o.ä. als Absender in Frage, wie sie sich seit geraumer Zeit in Social Networks wie StudiVZ rumtreiben.
Die Datei wurde von verschiedenen Virenscannern als Trojaner identifziert.

Eine glasklarere Lage gibts doch nicht. Wozu soll da das Ergebnis eines „Avira Checks“ von Nöten sein oder abgewartet werden?

Anonym_028940377b35 · 13. August 2008 um 10:37

Hallo Thunderfox

naja ich bin dabei vorsichtig. Virenschutze machen ebenfalls
Heuristikfehler oder erkennen Datein durch falsche Signaturen
als Fehlalarm.

Wenn bei Virus Total oder ähnlichen Seiten eine Datei von mehreren Scannern ähnlich/identisch erkannt wird, ist die Datei, unter der Berücksichtigung der anderen Parameter (Woher, auf welchem Weg…) mit grösster Wahrscheinlichkeit tatsächlich verseucht.

Ich warte zunächst den individuellen Avira Check aber, der
meistens 3 Tage dauert.

Wozu?

Was du gesagt hast, weiß ich nur eben andere nicht, weil die
wiederrum wie mein Bruder und seine Freunde glauben, es sei zu
kompliziert oder nur Computer"freaks" kennen sich damit aus.

Richte ihnen eingeschränkte Konten ein, dann können sie weniger Schaden anrichten. Gib ihnen die nötige Schulung, dass sie die wesentlichsten Gefahren etc. kennen und vereinbare mit ihnen, dass Du ihnen nur dann hilfst, wenn sie nicht grobfahrlässig handeln. Bzw. wenn sie grobfahrlässig handeln, wie es hier der Fall war, sie Dir zum Ausgleich etwas bezahlen müssen oder so. Vielleicht lernen sie so, dass es wichtig ist, verantwortungsvoll und vorsichtig mit dem Computer, Internet etc. umzugehen.

CU
Peter

Anonym_3f767aa3647e · 13. August 2008 um 17:46

Hallo,
Avira hat bestätigt, dass es sich um eine Malware handelt bzw. einen Trojaner.
Ich habe die Ip Adresse von dem jenigen, wohin er sich verbindet und zudem seine Anschrift über seine Webseite rausbekommen.

Er wohnt in Hamburg.

Soll ich bei der Polizei anrufen?