ICQ Trojaner vom Freund bekommen!

[HACKYSACK]

Hy,

am Wochenende hab ich über ICQ ne Nachricht von einem Freund bekommen in der stand in etwas:

HY, habe jetzt mein erstes Programm mit C++ geschrieben. Schau es dir ma an und sag mir wie du es findest! Die Texturen sind aber noch nicht so schön, bin ja noch Anfänger

Ich fragte dann ob er noch ins TS kommt, er ne hab keine Zeit inmoment bla bla (dazu weiteres unten)

SO er ging dann offline

Ich hab dann die exe datei ausgeführt...dann kam ne Fehlermeldung das bei mir irgendwas mit OpenGL fehlt!
Ich hab noch paar mal drauf geklickt, da kam diese meldung nicht mehr, aber es öffnete sich auch nichts!
Dann erschien unten rechts nur ein kleines Fenster von Bitdefender V10 das ein Trojaner versucht aufn rechner zu kommen!

Ich hab dann die Datei gelöscht! Kurze Zeit später shcrieb mich ein anderer Kolege an und erzählte ob ich die Datei auf von "..." bekommen habe, ich sagte ja aber öffne die lieber nicht!
Das hab ich beim Absender der ICQ NAchricht angerufen, er sagte er ist gar nicht am Rechner, Ihm haben aber schon mehr Leute angerufen!

Kurze Zeit später bekam ich vom anderen Kollegen die selbe Message, von dem ich später erfahrne musste das sein ICQ auch gehackt worden ist, er hat vom ersten Kollegen auch diese Nachricht erhalten mit dem C++ Programm!

Beide können jetzt sich nicht mehr in ICQ einloggen, kann man das irgendwie wieder hinbekommen das sie Ihren ICQ Account wieder bekommen?

Muss ich noch Angst haben, das ich noch diesen Trojaner auf meinem Rechner habe und der sich später zeigt, bei mir funktioniert bis jetzt alles noch bestens!!

Ist der Virus bekannt bei euch, habt Ihr davon schon gehört??

Wäre ma sehr interessant!

 

[markus1234]

Tja, selbstverschulden.

Ein ICQ Passwort kann binen 90 Sekunden aufgerufen werden. ICQ ist somit eines der unsichersten Programme übehaupt, was eigtl. allgemein bekannt ist.

Die Accounts die deine Freunde verloren haben, sind definitiv verloren, da derjenige mit Sicherheit das Passwort abgeändert hat.

Und du bist evtl. auch kompromittiert, poste zum Überprüfen ein komplettes HiJackThis-Logfile. Link dazu in meiner Sgnatur. Und sieh dir mal den Sandboxie-Beitrag im SIcherheits-Forum an. Mit Sandboxie wäre dir das nicht passiert.

mfg,
Markus

 

[HACKYSACK]

Mein komplette loc File findest du im Anhang!!

 

[markus1234]

Kopiere die Datei C:\WINDOWS\system32\scvhost.exe auf den Desktop und uploade sie auf Virustotal und Jotti (Links in meiner Signatur).

Kopiere nach dem Scan das Ergebnis hier rein.
Du darfst aber schon damit rechnen, dass ich dir eine Neuinstallation nahelege.

mfg,
Markus

 

[Voyager10]

Böse Sache , man sollte nie Süssigkeiten von Fremden annehmen , das war wohl ein typischer Social Engineering Trick , mache den Leuten den Mund wässrig und verschwinde so schnell wie möglich Ob da irgendeine Sandbox weitergeholfen hätte , wenn der User mit den Ausgaben nichts anfangen kann , wag ich zu bezweifeln, letztendlich hätte er das Programm auch so angeklickt wenn die Neugierde einfach zu groß ist .

Hier hilft Aufklärung mehr.
http://de.wikipedia.org/wiki/Social_Engineering
http://sicherheitskultur.at/social_engineering.htm

 

[serra.avatar]

naja ich weiss ned also das sich jemand als nen Freund über ICQ ausgibt ... ja kann sein aber das merkt man doch nach ein zwei Sätzen ... und von Freunden die ich so schlecht kenne, das ich das ned merk, nehm ich mit Sicherheit keine Dateien entgegen ... ausserdem dafür gibts auch nen Virenscanner, damit man fremde Daten grundsätzlich erstmal scannt ... aber ist wohl so ähnlich wie Titten.jpg da schaltet bei den meisten auch das Hirn aus ...

 

[Voyager10]

@serra.avatar

bei homosexuellen definitiv nicht

 

[Trackballfan]

Ich habe auch mal einen Virus über ICQ bekommen, schon lang her, aber seit dem benutze ich keinen Messenger mehr, habe sie alle von der Platte verbannt.

 

[HACKYSACK]

Virustotal -->

Datei scvhost.exe empfangen 2007.10.01 21:31:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/31 (6.46%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.2.0 2007.10.01 -
AntiVir 7.6.0.18 2007.10.01 -
Authentium 4.93.8 2007.10.01 -
Avast 4.7.1043.0 2007.09.30 -
AVG 7.5.0.488 2007.10.01 -
BitDefender 7.2 2007.10.01 -
CAT-QuickHeal 9.00 2007.10.01 -
ClamAV 0.91.2 2007.10.01 -
DrWeb 4.33 2007.10.01 -
eSafe 7.0.15.0 2007.10.01 -
eTrust-Vet 31.2.5176 2007.10.01 -
Ewido 4.0 2007.10.01 -
FileAdvisor 1 2007.10.01 -
Fortinet 3.11.0.0 2007.10.01 -
F-Prot 4.3.2.48 2007.10.01 -
F-Secure 6.70.13030.0 2007.10.01 -
Ikarus T3.1.1.12 2007.10.01 -
Kaspersky 7.0.0.125 2007.10.01 -
McAfee 5131 2007.10.01 -
Microsoft 1.2803 2007.10.01 -
NOD32v2 2563 2007.10.01 -
Norman 5.80.02 2007.10.01 -
Panda 9.0.0.4 2007.10.01 -
Prevx1 V2 2007.10.01 -
Rising 19.43.00.00 2007.10.01 -
Sophos 4.22.0 2007.10.01 -
Sunbelt 2.2.907.0 2007.10.01 VIPRE.Suspicious
TheHacker 6.2.6.075 2007.10.01 -
VBA32 3.12.2.4 2007.10.01 -
VirusBuster 4.3.26:9 2007.10.01 -
Webwasher-Gateway 6.0.1 2007.10.01 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 1726880 bytes
MD5: ccdd905c3f33cb5fabbdd6dbf398a2f8
SHA1: e83effca3f0b4df4df740751e73f2a5b9e32fdce
packers: Aspack
packers: PE_Patch
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Jotto -->

Datei: scvhost.exe
Auslastung:
0% 100%
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
PE_PATCH
Bit9 rapportiert: Not analyzed yet (more info)

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

 

[Voyager10]

Es ist auf jeden Fall Malware ! Weil hier der Virenschreiber das typische Prinzip der Täuschung von echten Windowsprozessen ausnutzt .
scvhost.exe = Fake
svchost.exe = Echt

 

[markus1234]

Könnte etwas neues sein.
Packe die Datei bitte mit einem Packer deiner Wahl (Winrar, Winzip), belege dieses Archiv mit einem Passwort und sende es mir per PN hie im Forum zu.

Ich werde es zur Analyse an diverse Antivirenhersteller weiterleiten und dir das Ergebnis mitteilen.
Danach:

Deaktiviere die Systemwiederherstellung (Rechtsklick auf Arbeitsplatz -> Systemwiederherstellung -> Haken setzen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren") und boote in den abgesicherten Modus (Nach dem Neustart wiederholt F8 drücken). Scanne mit HiJackThis und markiere im Scanfenster anschließend den Eintrag mit der scvchost.exe. Klick nun auf "Fix checked" und beende Hijackthis.

Starte den Rechner neu - im normalen Modus - und aktiviere wieder die Systemwiederherstellung.
Poste erneut ein HiJackThis-Logfile.

Wenn du mir das File schnell zuschickst, kann ich dir binen einigen Stunden das Resultat der Antivirenhersteller mitteilen.

mfg,
Markus

 

[Voyager10]

Die Onlinescanner schicken die Samples die ein User uploadet automatisch an Antivirenhersteller weiter, die Mühe musste du dir nicht machen.

 

[markus1234]

.. was bedeuten würde, dass der Hilfesuchende in diesem Fall auf ein Signaturupdate seiner Antivirensoftware warten - und bis dahin das möglicherweise Infektiöse File auzbewahren muss, um irgendwann einmal eine Bestätigung vom Programm zu erhalten.

Schneller geht es immer die Labs direkt anzuschreiben/mailen und die Maleware so untersuchen zu lassen. Womöglich verfügt diese Maleware über eine Backdoor-Routine. Dann wäre natürlich eine Neuinstallation angesagt. Ich glaube nämlich nicht daran, dass es nur einfache, ungefährliche Maleware ist und möchte gerne direkt eine Bestätigung dafür haben.

mfg,
Markus

 

[Voyager10]

Der User hatte schon beschrieben das es eine Backdoor ist , diesselbe Datei ist bei den anderen Usern angekommen und deren ICQ Account wurde zum Virenschreiber übertragen, man muss leider davon ausgehen das auch die persönlichen Daten des Threaderstellers schon übertragen wurden von daher muss er wohl oder übel die notwendigen Schritte einleiten . Auf dem System ist möglicherweise noch weitere unerkannte Malware drauf und auch Kopien des ICQ Worms. Die sicherste Lösung ist Neuaufsetzen und sofortige Änderungen des ICQ Passworts solang er noch reinkommt.
Da braucht man nicht zu warten "wie" böse die scvhost.exe war.

 

[HACKYSACK]

@markus1234 hab dir die Datei per PM gesendet!!!

Hoffe du lässt was von dir hören!!

ICQ PW hab ich bereits geändert!

 

[Bender4everCH]

Bin mal gespannt, wie das ausgeht hier

 

[firexs]

löl, was bringt dir das ändern deines passwortes auf einem kompromitiertem system? ^^ und wieso nutzt du kein antiviren programm das dir vor der ausführung eine verweigerung ausspricht? die scvhost.exe ist schon locker 2 jahre alt. klar, die viren/trojaner/malware dahinter evtl leicht geändert, aber sonst..
jede gute seite die sich damit beschäftigt rät dir zur neuinstallation. siehst ja bei deinen freunden wie fix da die leute sein können. also sichere alle deine daten im offline-modus und bastel dir eine saubere neuinstallation mit virenscanner. dann mach nen kompletten systemscan, damit kein virus unter den gesicherten daten sich versteckt.

viel glück

 

[larssi1994]

also das in ICQ und MSN und weiter Messenger Viren verschikkt werde passiert fass Täglich ich hatte dass lz Woche auch einmal und Heute auch das erste mal war ich so doof und hab die angenm und geöffnet Mein PC war danach lange Down bis Komplett Formatirung bei den lz malen war ich zum Glück nicht soo Doof! komischer Weise waren die "Hacker" so doof und hat die PW´s nicht geändert was ein NOOOOB

 

[Voyager10]

Die scvhost.exe muss nicht zwangsläufig alt sein weil viele Virenschreiber schon den Prozessname im Laufe der Jahre für ihre Würmer gewählt hatten, da gabs ja schon ein paar . Da das File von keinem der Virenscanner erkannt wird liegt der Fall nahe das es ein neuer Trojaner ist oder er ist saugut umgepackt und gemodded .

 

[markus1234]

Der Name scvhost wird wirklich sehr häufig benutzt. Die Tatsache, dass sie permanent aktiv war, deutet auf Backdoor-Funktionalität. Ich habe das File gerade weitergeleitet und warte nun auf die Analysen der Spezis.

mfg,
Markus