#1 6. Juni 2007 Habe mit AntiVir 2 verschiedene Viren gefunden: 1. PHISH/Bankfraud.5 2. PHISH/VolksBfrau.2 Nun befinden sich diese Viren im Mailordner von Opera. Das Programm berichtet mir dies, kann die Datei aber nicht löschen, da sonst Mails zu schaden kommen könnten. Nun meine Frage: Wie schlimm sind diese Viren - was machen sie? Wie kann ich diese Viren löschen? Bin ein bisschen am verzweifeln! Danke Greetingz Timo + Multi-Zitat Zitieren
#2 6. Juni 2007 AW: PHISH/VolksBfrau.2 im Mailordner - wie löschen? Ich hatte mal den PHISH/Bankfraud.5 drauf. Konnte ihn aber Problemlos mit dem AntiVir Problemlos löschen... Habe mich im Internet schlaugemacht^^ Name: ADSPY/BaiduBar.P Entdeckt am: 02/10/2006 Art: Trojan In freier Wildbahn: Nein Gemeldete Infektionen: Niedrig Verbreitungspotenzial: Niedrig Schadenspotenzial: Niedrig bis mittel Statische Datei: Ja Dateigröße: 19.968 Bytes MD5 Prüfsumme: 306cee9a4db1909c45960c79980413fd VDF Version: 6.36.00.71 - Mon, 02 Oct 2006 10:14 (GMT+1) IVDF Version: 6.36.00.86 General Verbreitungsmethode: • Keine eigene Verbreitungsroutine Aliases: • Kaspersky: Trojan.Win32.Agent.tl • F-Secure: Trojan.Win32.Agent.tl • Eset: Win32/Agent.TL Betriebsysteme: • Windows 98 • Windows 98 SE • Windows NT • Windows ME • Windows 2000 • Windows XP • Windows 2003 Auswirkungen: • Lädt schädliche Dateien herunter • Änderung an der Registry Dateien Eine Kopie seiner selbst wird hier erzeugt: • %TEMPDIR%\%zufällige Buchstabenkombination%.tmp Es wird folgendes Verzeichnis erstellt: • %SYSDIR%\A4\baisob\update Es werden folgende Dateien erstellt: – Nicht virulente Dateien: • %SYSDIR%\A4\baisob\update\updatefile.lst • %SYSDIR%\A4\baisob\update\waitdown.lst Es wird versucht die folgenden Dateien herunterzuladen: – Die URL ist folgende: • soft.baiso.com.cn/02/********** Diese wird lokal gespeichert unter: %SYSDIR%\A4\baisob\update\up.dat – Die URL ist folgende: • ad.baiso.com.cn/02/********** Diese wird lokal gespeichert unter: %SYSDIR%\A4\baisob\update\adout.dat Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können. – Die URL ist folgende: • down.lons.cn/02/********** Diese wird lokal gespeichert unter: %SYSDIR%\A4\baisob\update\verx.dat – Die URL ist folgende: • down.lons.cn/********** Diese wird lokal gespeichert unter: %SYSDIR%\A4\baisob\update\realupdate.exe Zum Zeitpunkt der Analyse war dies eine neue Version der Malware. – Die URL ist folgende: • down.lons.cn/02/********** Diese wird lokal gespeichert unter: %SYSDIR%\A4\baisob\update\dlldostb.dll – Die URL ist folgende: • down.lons.cn/02/********** Diese wird lokal gespeichert unter: %SYSDIR%\A4\baisob\update\novel.exe – Die URL ist folgende: • down.lons.cn/02/********** Diese wird lokal gespeichert unter: %SYSDIR%\A4\baisob\update\winampb.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. – Die URL ist folgende: • down.lons.cn/02/********** Diese wird lokal gespeichert unter: %SYSDIR%\A4\baisob\update\avpb.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.Agent.awb.10 Registry Folgender Registryschlüssel wird hinzugefügt: – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\baisob] • "SetupPath"="%SYSDIR%\A4\baisob" • "main"="1.0.0.14" • "selfUpdate"="1.0.0.17" • "otherUpdate"="1.0.0.16" • "2"="2.0.1.248" Diverses Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen: • www.microsoft.com Datei Einzelheiten Programmiersprache: Das Malware-Programm wurde in MS Visual C++ geschrieben. Laufzeitpacker: Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt: • UPX (Quelle Avira) Hoffe es bringt dir was. + Multi-Zitat Zitieren