Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Einmal vertippt: Rechner neu aufsetzen (https://www.dedies-board.de/wbb2/thread.php?threadid=240)

Geschrieben von MobyDuck am 27.04.2005 um 19:11:

  Einmal vertippt: Rechner neu aufsetzen

Wer sich bei einem nicht aktuell gehaltenen System im IE vertippt, kann sein blaues Wunder erleben:

Gibt man z.B. statt "google" "googkle" ein, was schnell passieren kann, dann bekommt man keine Fehlermeldung sondern landet eben bei googkle. (Die URL verkneife ich mir)

Dann passiert folgendes:

2 weitere Fenster poppen auf, die nach ntsearch.com und toolbarpartner.com verlinkt sind.

Unter Ausnutzung einer inzwischen gepatchten Schwachstelle im IE laden diese Seiten die Dateien

pop.chm
ddfs.chm
pic10.jpg.

Die beiden erstgenannten enthalten weiteren schädlichen Code, auch die JPG-Datei ist ausführbar.

Außerdem werden über die Seite daosearch.com folgende Dateien geladen und ausgeführt:

web.exe
classload.jar

Anschließend läd pop.chm den Trojaner

sp.exe (Trojan.Win32.Spooner.f)

Über ddfs.chm wird der Trojan-Downloader.Win32.Small.apf geladen, der wiederum die Trojaner

xz.exe (Trojan-Dropper.Win32.Small.vv) und
Trojan-Downloader.Win32.Small.anu (winloadhh.dll)

nachläd.

Der letztgenannte Trojaner verbindet mit

toolbarpartner.com (ja genau, hatten wir eben schon) und
sturfajtn.com

Diese Seiten laden und installieren dann:

next1.exe: Trojan-Spy.Win32.Banker.jk
next2.exe: Trojan-Proxy.Win32.Small.bh
next3.exe: Backdoor.Win32.Zins.c
ggl.exe: Trojan-Dropper.Win32.Small.vn
inst.exe: Trojan-Dropper.Win32.Small.wp
ldr.exe: Trojan-Downloader.Win32.Agent.lv
proxyrnd.exe: Backdoor.Win32.Jeemp.c

Außerdem wird

winran.exe

ausgeführt. Es handelt sich um einen weiteren Dropper, der eine dll nachläd, die die Hosts-Datei modifiziert und eine Verbindung mit Kaspersky und Symantec unterbindet.

Doch damit noch nicht genug, es kommt noch besser:

Eine ebenfalls gedroppte Datei

svchosts.dll

gibt die Meldung aus:

VIRUS ALERT!
YOUR PC IS INFECTED!

IT HAS BEEN DETECTED THAT YOUR PC HAS AT LEAST 3 DANGEROUS VIRUSES!
TO KNOW FOR SURE YOU URGENTLY NEED TO RUN AN ANTIVIRUS TEST ON YOUR PC!

The consequences of spyware and virus presence on your pc might belike:
loosing all the data, data might be stolen, your secrets might beexposed.

PROTECT YOUR PC!
REMOVE ALL VIRUSES NOW!

Wenn man auf dieses Fenster klickt, landet man bei

topantivirus.biz,

die, na was wohl? - AV-Software feilbietet. fröhlich

Quelle