Dedies-Board » Sicherheit » Anti-Virenboard » Backdoor auf funpic.de?!?

Backdoor auf funpic.de?!?

DerBilk
Hallo,

einer unserer Mitarbeiter erhielt gestern eine SMS von einem Ihm unbekannten Absender mit folgendem Inhalt:

Zitat:
Hi [Name entfernt], wie gehts?wie gesagt, hier die urlaubsbilder: h**p://[editiert].funnpic.de/adobepictureviewer.exe Der Viewer öffnet alle Bilder Ich meld mich gruß Petzauge


Der sog. Viewer wird bei Jotti z. Z. folgendermaßen erkannt:
Zitat:
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32: Dumador-T gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Dumador.ed gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Embedded.Backdoor.Win32.Dumador.dg gefunden (mögliche Variante)


Interessanter Weise scheint die SMS personalisiert. Bei dem in der SMS angegebenen Vornamen handelt es sich um den tatsächlichen Namen des Empfängers...

Das Sample habe ich bereits an div. AV-Hersteller geschickt und an funpic.de ist ebenfalls eine Mail raus.
Da es sich um ein privates Handy des Kollegen handelt, wird dieser ggf. Anzeige bei der Polzei stellen...
chaosman
h**p://[editiert].funnpic.de/adobepictureviewer.exe

funpic.de

Ist ja fast identisch...

hier die Beschreibung
http://securityresponse.symantec.com/avc...oor.nibu.n.html
LG
chaosman
DerBilk
Der SMS-Text hieß richtigerweise ...funpic.de..., also mit einem n, sorry!
Aber diesen Viewer erkennt Symantec im Moment noch nicht...
Andere AV-Hersteller haben ihn in der Erkennung nun mit drin.

Zitat:

AntiVir Backdoor-Server/Dumador.ED gefunden
Avast Win32: Dumador-T gefunden
AVG Antivirus BackDoor.Dumador.CD gefunden
Dr.Web BackDoor.Dumaru.20 gefunden
KAV Backdoor.Win32.Dumador.ed gefunden
VBA32 Embedded.Backdoor.Win32.Dumador.dg gefunden (mögliche Variante)
DerBilk
Die besagte Datei ist mittlerweile vom Funpic-Server verschwunden. Zumindest bei o.g. Adresse kommt nur noch eine 404-Seite... yes
Vllt. hat meine Mail an abuse ja doch Eindruck gemacht... Petzauge