[HaBo]

valenterry · 21.02.07, 00:04

Scheint noch relativ neu zu sein.
Man bekommt wie immer eine Nachricht z.B. folgende Seite zu besuchen:
hxxp://6161.huidefuikinmase.com/2/967/
(Vorsicht, funktioniert noch)
So und nun meine Frage:
Wie verbreitet sich der Virus jetzt?
Nur eine HTML-Seite aufzurufen ist ja eigentlich ziemlich ungefährlich, es sei denn er nutzt einen noch unbekannten/ noch nicht gefixten Exploit aus.
Weiß jemand da genaueres?

quux · 21.02.07, 00:50

Also, wenn du daraufklickst wird eine *.pif-Datei runtergeladen.

Zitat:

Die Dateiendung PIF (Program Information File) wird vom Betriebssystem Windows benutzt, um sich bestimmte Einstellungen für die Ausführung von DOS-Programmen zu merken (z.B. Informationen darüber mit welchen Parametern ein Programm zu starten ist, welches Programm zu starten ist, welche Fenstergröße oder Schriftart verwendet werden soll).

Die PIF-Dateien sind ein Überbleibsel aus der alten MS-DOS Zeit. PIF-Dateien sind ähnlich wie EXE, COM oder BAT-Dateien ausführbar. Diese Eigenschaft wird allerdings von Viren-Programmierern dazu missbraucht Computer zu infizieren.

Quelle: Wikipedia

Was genau diese *.pif-Datei dann macht kann ich dir nicht sagen, da ich atm kein Windows habe.
Ich vermute mal, es legt Dateien an bzw läd weitere Teile aus dem Netz und installiert dir damit einen Virus/Trojaner/Malware oder sonstwas, manipuliert evtl. noch deine Firewall und dein AV-Programm und ein paar Systemeinstellungen, und zum Schluß wird es sich weiter versenden.

Btw, scheinen irgendwie in letzter Zeit immer häufiger diese IM-Würmer aufzutauchen....

[EDIT]
Die meisten Virenscanner erkennen diesen Wurm schon --> http://www.virustotal.com/vt/en/resu...b540c3dccf54d0
[/EDIT]

Anzeige

- Anzeige -

weau · 21.02.07, 09:43

der virus muss ja irgendwas auf deinem rechner installieren, was mit dem icq protokoll zutun hat. denn dieser virus schafft es ja unbemerkt an alle user aus einer kontakliste nachrichten mit dem oben angeführten link zuschicken.

SUID:root · 21.02.07, 10:56

@valenterry: Bitte verzichte künfitg darauf Virenlinks als direkten Link einzustellen. Wir wollen hier keine Links zu Viren! Wenn ein Link als Referenz dienen soll (damit andere User sich den Code, das Programm, Virus) ansehen können, dann "entschärfe den Link bitte. Ich habe das jetzt getan. Entweder setzt du ihn ohne URL-Tag oder mit einem h**p, hxxt, o.Ä.

Danke.

root

valenterry · 21.02.07, 14:04

Sorry, werd mich mir merken SUID:root.
Aber wo liegt die Gefahr, wenn man auf diesen Link klickt?
Mehr als ein Download passiert ja nicht.. man müsste die .pif ja ausführen, die wird doch nicht automatisch ausgeführt oder?
Und wieso zum Teufel muss man manuell nachhelfen, dass auch .pif .lnk und wie sie alle heißen angezeigt werden?
Denn selbst wenn man auch alle bekannten Dateiendungen anzeigen lässt, zeigt Windows die oben genannten und noch ein paar mehr nicht an.

SUID:root · 21.02.07, 14:22

Zitat:

Original von valenterry
Sorry, werd mich mir merken SUID:root.
Aber wo liegt die Gefahr, wenn man auf diesen Link klickt?
Mehr als ein Download passiert ja nicht.. man müsste die .pif ja ausführen, die wird doch nicht automatisch ausgeführt oder?
Und wieso zum Teufel muss man manuell nachhelfen, dass auch .pif .lnk und wie sie alle heißen angezeigt werden?
Denn selbst wenn man auch alle bekannten Dateiendungen anzeigen lässt, zeigt Windows die oben genannten und noch ein paar mehr nicht an.

Es geht dabei um einen allgemein gültigen Grundsatz; wir können nicht für jeden ausführbaren Code (Exe, Pif, Exploit) eine extra Regel machen. Der Nächste postet nen Link zu nem Exploit der die Malware automatisch installiert.Sowas geht nicht zumal es unsere Pflicht ist, verlinkte Inhalte zu prüfen. Das Thema "Prüfung von Links/Inhalten in Foren" ist ja ein problematisches Thema.

Gruß
root

valenterry · 21.02.07, 14:51

Du hast mich missverstanden.
Das sollte keine Entschuldigung für das Posten des Links sein.
Es war eine ganz normale Frage, aber ich geb zu, dass man auch annehmen könnte, es sei auf deinen Post bezogen.
Das war aber nicht meine Absicht.
Wie gesagt, das mit dem Link tut mir Leid und ich werd es nicht nochmal machen.

quux · 21.02.07, 21:19

Zitat:

Aber wo liegt die Gefahr, wenn man auf diesen Link klickt?
Mehr als ein Download passiert ja nicht.. man müsste die .pif ja ausführen, die wird doch nicht automatisch ausgeführt oder?

Was glaubst du wieviele Leute die Datei downloaden und draufklicken, wenn sie den Link von ihren Freunden bekommen? Zumal wohl kaum jemand *.pif-Dateien kennt...
Darin liegt die Gefahr....

SUID:root · 22.02.07, 00:28

[OT]
@valenterry:
Ah. Ok, ja so hatte ich das in der Tat verstanden.

Ist ja letztendlich auch egal. Schadet ja auch nicht; dann weiß jetzt wenigstens jeder Bescheid. Alles kein Problem.
[/OT]

-Fr34k4z01d- · 22.02.07, 08:24

Zitat:

hxxp://6161.huidefuikinmase.com/2/967/

Ich hab vorhin 5x diesen Link hier bekommen:
h**p://9719.gepasderuikindefunhas.com/1/818/
(achtung: enthält auch das oben genannte)

Kann man irgendwie dagegen vorgehen indem man das ICQ meldet?
Weil der Virus benutzt ja nicht unbedingt eine Lücke in ICQ oder? Man kann ja auch über z.B. Miranda Nachrichten versenden.

Das interessante ist, dass nichts im Verlauf steht. (Ja mich idiot hats auch erwischt -.- ist in einer sammlung anderer Links untergegangen und das von einem Freund kam.... Aber egal wollt eh mal wieder neu aufsetzen)
Daraus schließe ich, dass der Virus keine Lücke im Programm selbst sondern wenn dann im Protokoll ausnutzt.
Ich benutze Miranda ist das irgendwie möglich das durch ein Update zu verhindern?

Havoc17 · 22.02.07, 13:30

Habe den Virus auch bekommen, da man Freunden einen einen Link geschickt bekommt.

Kumpel Programmiert halt java, c/c++ und im dos

werde die scheiße dann sobald ich morgen wieder am PC bin runterwerfen.

.:L · 22.02.07, 13:38

Ich benutze Trilian, bekomme solche messages nie..

Kann das sein?

valenterry · 22.02.07, 14:10

Ich benutz Trillian und bekomm auch nie welche. ^^

.:L · 22.02.07, 14:13

ICQ sucks -.-

**CDW** · 22.02.07, 17:57

eine kurze Beschreibung, was die "PIF" macht:
Es handelt sich dabei um eine "vollwertige" Win32 Executable. Das Spielchen mit den Endungen hat eigentlich nichts zu sagen. Auch wenn die Endung BAT/CMD/PIF ist - eine Exe wird trodzdem erkannt und richtig gestartet.

Die heruntergeladene Datei ist gepackt. Trägt die Signatur von Upack, allerdings wäre ich mir da nicht so sicher, dass es Upack ist, da man solche Signaturen auch leicht fälschen kann und die Startroutine mir nicht nach Upack ausschaut.
Dann wird folgendes gemacht:
1.suche systemverzeichnis (X:\Windows\syste32\)
2.überpfüfe existenz der scccsumdm.dll
2.1 beim vorhandensein - lösche diese,
3. schreibe eine scccsumdm.dll rein (X:\Windows\system32\), die in der PIF "mitgebracht" wird.
4. lade diese DLL.

Die DLL trägt sich unter
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
als WlxStartupEvent/WlxShutdownEvent ein, so dass sie dann vom System
beim login/logout geladen wird.
Beim starten überprüft die DLL, ob sie von winlogon.exe geladen wurde.
Wenn es nicht der Fall ist, wird eben (nochmal) der Eintrag im oben erwähnten Regkey erstellt. Ansonsten:
hier habe ich die Lust verloren, bin ja nicht bei einer AV Firma eingestellt

. Ich denke, dass da nichts Gutes gemacht wird.

Ich würde jetzt zwar nicht meine Hand ins Feuer für folgende Aussagen legen, aber
a) man muss die Malware als Admin ausführen (dieser Regkey ist sonst nicht beschreibbar)
b) wenn man noch nicht neugebootet hat, kann man theoretisch mit dem Löschen der DLL und der Einträge wieder alles "geradebiegen"

Anzeige

- Anzeige -

21.02.07, 00:04	#1 (permalink)
valenterry Registriert seit: 25.07.06 Likes: 0	(mal wieder) neuer ICQ-Virus Anzeige Scheint noch relativ neu zu sein. Man bekommt wie immer eine Nachricht z.B. folgende Seite zu besuchen: hxxp://6161.huidefuikinmase.com/2/967/ (Vorsicht, funktioniert noch) So und nun meine Frage: Wie verbreitet sich der Virus jetzt? Nur eine HTML-Seite aufzurufen ist ja eigentlich ziemlich ungefährlich, es sei denn er nutzt einen noch unbekannten/ noch nicht gefixten Exploit aus. Weiß jemand da genaueres?

22.02.07, 13:38	#12 (permalink)
.:L Senior Member Registriert seit: 05.05.06 Likes: 24	Ich benutze Trilian, bekomme solche messages nie.. Kann das sein? __________________ fat people are hard to kidnap

22.02.07, 14:13	#14 (permalink)
.:L Senior Member Registriert seit: 05.05.06 Likes: 24	ICQ sucks -.- __________________ fat people are hard to kidnap

22.02.07, 17:57	#15 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	eine kurze Beschreibung, was die "PIF" macht: Es handelt sich dabei um eine "vollwertige" Win32 Executable. Das Spielchen mit den Endungen hat eigentlich nichts zu sagen. Auch wenn die Endung BAT/CMD/PIF ist - eine Exe wird trodzdem erkannt und richtig gestartet. Die heruntergeladene Datei ist gepackt. Trägt die Signatur von Upack, allerdings wäre ich mir da nicht so sicher, dass es Upack ist, da man solche Signaturen auch leicht fälschen kann und die Startroutine mir nicht nach Upack ausschaut. Dann wird folgendes gemacht: 1.suche systemverzeichnis (X:\Windows\syste32\) 2.überpfüfe existenz der scccsumdm.dll 2.1 beim vorhandensein - lösche diese, 3. schreibe eine scccsumdm.dll rein (X:\Windows\system32\), die in der PIF "mitgebracht" wird. 4. lade diese DLL. Die DLL trägt sich unter SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify als WlxStartupEvent/WlxShutdownEvent ein, so dass sie dann vom System beim login/logout geladen wird. Beim starten überprüft die DLL, ob sie von winlogon.exe geladen wurde. Wenn es nicht der Fall ist, wird eben (nochmal) der Eintrag im oben erwähnten Regkey erstellt. Ansonsten: hier habe ich die Lust verloren, bin ja nicht bei einer AV Firma eingestellt . Ich denke, dass da nichts Gutes gemacht wird. Ich würde jetzt zwar nicht meine Hand ins Feuer für folgende Aussagen legen, aber a) man muss die Malware als Admin ausführen (dieser Regkey ist sonst nicht beschreibbar) b) wenn man noch nicht neugebootet hat, kann man theoretisch mit dem Löschen der DLL und der Einträge wieder alles "geradebiegen" __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

21.02.07, 09:43	#3 (permalink)
weau Registriert seit: 21.10.06 Likes: 0	der virus muss ja irgendwas auf deinem rechner installieren, was mit dem icq protokoll zutun hat. denn dieser virus schafft es ja unbemerkt an alle user aus einer kontakliste nachrichten mit dem oben angeführten link zuschicken.

21.02.07, 10:56	#4 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	@valenterry: Bitte verzichte künfitg darauf Virenlinks als direkten Link einzustellen. Wir wollen hier keine Links zu Viren! Wenn ein Link als Referenz dienen soll (damit andere User sich den Code, das Programm, Virus) ansehen können, dann "entschärfe den Link bitte. Ich habe das jetzt getan. Entweder setzt du ihn ohne URL-Tag oder mit einem h**p, hxxt, o.Ä. Danke. root

21.02.07, 14:04	#5 (permalink)
valenterry Themenstarter Registriert seit: 25.07.06 Likes: 0	Sorry, werd mich mir merken SUID:root. Aber wo liegt die Gefahr, wenn man auf diesen Link klickt? Mehr als ein Download passiert ja nicht.. man müsste die .pif ja ausführen, die wird doch nicht automatisch ausgeführt oder? Und wieso zum Teufel muss man manuell nachhelfen, dass auch .pif .lnk und wie sie alle heißen angezeigt werden? Denn selbst wenn man auch alle bekannten Dateiendungen anzeigen lässt, zeigt Windows die oben genannten und noch ein paar mehr nicht an.

21.02.07, 14:51	#7 (permalink)
valenterry Themenstarter Registriert seit: 25.07.06 Likes: 0	Du hast mich missverstanden. Das sollte keine Entschuldigung für das Posten des Links sein. Es war eine ganz normale Frage, aber ich geb zu, dass man auch annehmen könnte, es sei auf deinen Post bezogen. Das war aber nicht meine Absicht. Wie gesagt, das mit dem Link tut mir Leid und ich werd es nicht nochmal machen.

22.02.07, 00:28	#9 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	[OT] @valenterry: Ah. Ok, ja so hatte ich das in der Tat verstanden. Ist ja letztendlich auch egal. Schadet ja auch nicht; dann weiß jetzt wenigstens jeder Bescheid. Alles kein Problem. [/OT]

22.02.07, 13:30	#11 (permalink)
Havoc17 Registriert seit: 14.02.06 Likes: 0	Habe den Virus auch bekommen, da man Freunden einen einen Link geschickt bekommt. Kumpel Programmiert halt java, c/c++ und im dos werde die scheiße dann sobald ich morgen wieder am PC bin runterwerfen.

22.02.07, 14:10	#13 (permalink)
valenterry Themenstarter Registriert seit: 25.07.06 Likes: 0	Ich benutz Trillian und bekomm auch nie welche. ^^

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Neuer XP Virus/Wurm?	BlackEarth	Windows	4	28.09.08 17:34
Achtung neuer MSN-Virus	smaster100	Virenschutz · Tools & Aggressive Software	13	17.03.08 17:31
Neuer Virus gefunden - unlöschbar?!	smaster100	Virenschutz · Tools & Aggressive Software	7	27.01.08 21:44
Wieder mal neuer CD Kopierschutz	Tec	News & Ankündigungen	7	30.08.02 00:29
NEUER VIRUS...im news-letter	TwoFinGaZ	News & Ankündigungen	1	20.02.02 19:23

[HaBo]

(mal wieder) neuer ICQ-Virus