Heute Abend hat sich über Facebook eine Bekannte den obigen Virus eingefangen, der im Chat unter der URL http://www.facebook.com/l/EUrRe;bit.ly/qVZkY8#L2pFE von einem infiziertem Rechner eines Ihr Bekannten Facebook Kontakte gepostet wurde.
Dies ist ein als Bild getarnter Link, welche eine .scr Datei (Windows Bildschirmschoner) runterlädt und ausführt. Wenn dann noch das ICQ aktuell läuft und man online ist, werden darüber an alle Online-Kontakte im ICQ folgende Nachrichten verschickt:
das foto solltest du wirklich sehen
http://www.diffazur.ma/oh/images/gallery.php?foto=PIC04402011.JPG
und etwas später dann:
un was maso will ich nicht aussehen wenn ich alt bin
http://www.diffazur.ma/oh/images/gallery.php?foto=PIC04402011.JPG
Leider erkennen die meisten aktuellen Virenscanner den Virus nicht, so auch der auf dem Rechner installierte und aktuelle Panda Antivirus 2012 welcher Stand heute (28.08.2011) den Virus NICHT erkennt! 🙁
Also habe ich im Internet gegoogelt und versucht die Datei über Kaspersky zu identifizieren, Ergebniss:
Zu überprüfende Datei: PIC04402011.JPG.scr
Statistiken:
Bekannte Viren: 6066204 Updated: 28-08-2011
Größe der Datei (Kb): 205 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0
Fehlanzeige, unbekannt! Also 2. Versuch unter www.virustotal.com und schau da folgendes Ergebniss:
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: 8a53b323121c5dcda626cae2998db715
Date first seen: 2011-08-28 18:00:28 (UTC)
Date last seen: 2011-08-28 19:30:23 (UTC)
Detection ratio: 4/44
File name: PIC04402011.JPG.scr
Submission date: 2011-08-28 18:24:04 (UTC)
Current status: finished
Result: 4 /44 (9.1%)
…
Kaspersky 9.0.0.837 2011.08.28 UDS:DangerousObject.Multi.Generic
McAfee-GW-Edition 2010.1D 2011.08.28 Heuristic.LooksLike.Win32.Suspicious.J
NOD32 6418 2011.08.28 a variant of Win32/Injector.IWV
Sophos 4.68.0 2011.08.28 Mal/EncPk-AAQ
…
Der vollständige Report von www.virustotal.com. (Update: 16.07.2018 – Der Report ist nicht mehr verfügbar -> Link entfernt!)
Was bei dem Report verwirrend ist, das hier Kaspersky den Virus kennt, warum dann nicht der Online FileScan auf der Webseite?
Das erschreckende ist aber, dass von 44 Virenscannern nur 4 diesen auch erkennen!
Mein Fazit ist jedenfalls, das die ganze Heuristik & Co. zumindest bei Panda Antivirus 2012 vollständig versagt hat, denn gerade diese Heuristik sollte ja auch wenn der Virus noch nicht bekannt ist in der Datenbank, anhand des Verhaltens diesen dennoch zumindest melden oder blockieren. Was in diesem Fall jedoch zum Leidwesen des Benutzers versagt hat. Der Virus hat sich installiert, Dateien nachgeladen und lief munter im Task-Manager mit 5 Tasks sichtbar.
Problemlösung:
1. Task-Manager öffnen alle unter dem angemeldetem User laufenden Prozesse, welche nur aus Zahlen bestehen löschen sowie Prozesse, welche absolut nicht zum Computer passen, oder aber Namen von Programmen enthalten, welche definitiv nicht auf dem Rechner installiert sind.
2. ESET Internet Security Testversion herunterladen.
3. Netzwerkverbindungen trennen (sicher ist sicher) und danach den vorhandenen Virenscanner deinstallieren und die Testversion von ESET Internet Security installieren.
Achtung nach der Deinstallation des alten Virenscanners ist ein Neustart erforderlich!
4. Netzwerkverbindung wiederherstellen und den Virenscanner mittels Online Update aktualisieren.
5. Computer nach Viren durchsuchen lassen und siehe da, wie er eine nach der anderen Datei mit dem obigen Virus findet…
6. Freuen und warten bis der Hersteller des eigenen Virenprogrammes den Virus erkennt… 😀
Update 29.08.2011:
Der Kaspersky File Scanner erkennt nun den Virus:
Zu überprüfende Datei: PIC04402011.JPG.scr - Infiziert
Statistiken:
PIC04402011.JPG.scr Infiziert: Trojan.Win32.Buzus.ihyl
Bekannte Viren: 6079167 Updated: 29-08-2011
Größe der Datei (Kb): 205 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0
Und laut www.virustotal.com erkennt jetzt auch der BitDefender den Virus:
File name: PIC04402011.JPG.scr
Submission date: 2011-08-28 18:24:04 (UTC)
Current status: finished
Result: 5 /44 (11.4%)
…
BitDefender 7.2 2011.08.28 Trojan.Generic.KD.336709
Kaspersky 9.0.0.837 2011.08.28 UDS:DangerousObject.Multi.Generic
McAfee-GW-Edition 2010.1D 2011.08.28 Heuristic.LooksLike.Win32.Suspicious.J
NOD32 6418 2011.08.28 a variant of Win32/Injector.IWV
Sophos 4.68.0 2011.08.28 Mal/EncPk-AAQ
…