Explorer.exe ... von Troyaner gekillt, email ups_TracingNr

[john]

..wenns dan demnächst ein geknacktes HE gibt, weißt du auch, wies sie es bekommen haben.
Für den einen oder anderen Anbieter von (nachgebauter) Hardware mag selbst HE als für ihn kostenlose Zugabe interessant sein.

Gut möglich, daß sich ein Angreifer ein gängiges Trojaner Toolkit gekauft/besorgt und extra etwas für dich gebastelt hat. So abwegig ist das nicht.

[tschosef]

naja... gut....

[tschosef]

hai hai..

nur mal, zur erinnerung, warum ich so doof bin, die mail überhaupt zu öffnen...
gleiches "prinzip" von DHL... der Absender is vom forum ... diesmal ne echte message.

Sehr geehrte(r) Herr/Frau Erich .....,


D....... hat über die DHL Online Frankierung eine Sendung frankiert und an Sie adressiert.

Sobald der Absender die Sendung an DHL übergeben hat, können Sie den Lieferstatus mit der Sendungsnummer xxxxxxxxx online verfolgen:
http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Diese Email an Sie wurde von D........... über die DHL Online Frankierung beauftragt.
Wenn Sie Fragen zum Versanddatum oder dem Inhalt der Sendung haben, wenden Sie sich bitte direkt an den Absender Ihrer Sendung.


Mit freundlichen Grüßen
Ihr DHL Team

PS.: Weitere Informationen zur DHL Online Frankierung finden Sie hier: www.dhl.de/onlinefrankierung

der link könnte genausogut "sonst wo hin" führen.... wer hätte den link gecheckt, vorallem wenn man eh solch eine Sendung erwartet? naja, ich bin ja nun schlauer.

@ Decix.. is das böse teil bei dir schon an gekommen?... hast nix mehr gemailt.... vom Virus vernichtet???

viele Grüße
Erich

[decix]

Ja ist angekommen, nein ich wurde nicht davon vernichtet
Leider bin ich relativ ratlos, das Verhalten des Schädlings ist für mich nicht nachvollziehbar.
Da müsste ein Profi ran.

[tschosef]

hai hai..

hm... schade.... daher gibts wohl kaum infos dazu, was dieses ding überhaupt macht.

[turntabledj]

Erich - mach dir 1x die Arbeit und installier die Büchse neu, dann kannst Du auch wieder ruhig schlafen.
Alles andere ist wie poppen ohne Gummi und du fragst Dich jeden Tag auf's Neue, ob de Dir was eingefangen hast.

Wenn de das Dingen neun aufgesetzt hast, "eigene Dateien" auf eine eigene Partition umbiegen und falls nötig, derartige Änderungen bei der ein oder anderen Soft nachziehen...
Bei neuer Soft, "Dateipfade" dann immer in die "Eigenen Dateien" bzw. so auf die Datenpartition umbiegen.

TempIE-Dateien und Temp-Ordner löschen (nur wg. sonst verschenktem Platz) und nen Image machen. Das Image dann zusätzlich auf eine ext. HDD sichern. Nach nen paar Wochen mit sonst was für Security-Updates restaurierste das Image just for Fun, lässt die Updates wieder laufen und ziehst nen neues Image. Das alte kannste sicherheitshalber noch nen paar Wochen aufheben.

Auf die Art lebe ich schon seit Jahren mit einem sauberen Rechner auf dem ich schon 100erte Progs "nur mal zum eben ausprobieren" installiert hab. Dann lächelste selbst über eine gecrashte HDD (Datensicherung vorausgesetzt).
5 Min. zum HDD tauschen, Büchse von CD booten und Image wieder druff, anschließend Restore der Datenpartition und fertig!

Das Leben kann so einfach sein...

[tschosef]

hai hai..

ich find eure Sorge um meinen "be ze" (PC) echt bemerkenswert

es is so: ALLE Dokumente und Files die ich mit proggies erstelle, sind sowiso auf ner Ext HD die auch autom kopiert wird auf ne andere Ext HD ... per Super Flexible File Synchronizer und noch nen pc.

ein System Backup (nur Windoof und programme) hab ich früher tatsächlich gemacht, und dann meist (wegen faulheit, dies immer wieder mal zu aktualisieren) feßtgestellt, dass es ja schon wieder SAUUUUU ALT ist, und dies und jenes nicht so is wie ich es brauche.. usw.

Allgemein leb ich mit dem "system" so ganz gut, und schon lange... neuinstallationen von Betriebssystem kommen etwa alle 3-4 jahre vor, weils einfach ätzend läuft oder so.

Ob man sich was eingefangen hat oder nicht... das weis vermutlich nicht mal die Hälfte der betroffenen! ja ja.... ich mach schon noch eine neu installation... aber erst wenn ich per mail alle meine user mit dem Troy verseucht habe, und allen das he-ls update mit samt troyaner untergejubelt habe

selbst wenn dem so währe, wie hier schon vermutet wurde, dass womöglich die HE Files betroffen währen, dann hätte ich nicht einen, sondern 3 PC`s zu bereinigen! und sämtliche Backups usw.... da ich halt mal hier und mal da und mal dort drann arbeite... und was mach ich dann mit he-ls? wie sauber kriegen, wenn man nicht mal weis, wo da was hängen könnte? usw usw usw.....

es is die gleiche frage wie Impfen gehen oder nicht? auch hier streiten sich die götter in weis... meist siegt der Gewinngedanke.

naja... witzige sache das ganze.

also... Systembackup mach ich dann... versprochen... gleich nach meinem Kurs "Diskettenbeschriftung mit dem Nadeldrucker"..... und sobald ich den Weichspühler aus dem CD laufwerk entfernt habe (weil das waschprogramm so gut ist)

gruß derweil
Erich

[murmeljoe]

Hallo Zusammen,

wollte gerade auf der Homepage von DHL ein Packet nachverfolgen und da steht recht prominent folgende Info: http://www.dhl.de/de/paket/popups/priva ... virus.html.

Das Problem haben also wohl noch andere ...

Gruß
Joe

[tschosef]

Hai hai..

ja, das problem ist nicht neu.... schon älter, einige jahre ... aber es flammt scheinbar immer wieder mal auf... mal angeblich von UPS.. mal von DHL... mal von hermes.. usw... also vorsichtig sein..

Gruß derweil
Erich

[decix]

Moin Erich!

Hab mir das Teil gerade nochmal angeschaut:
Beim Ausführen der UPS_Document.exe wird diese getarnte ~20KB kleine DLL (?) Datei installiert:
C:\WINDOWS\system32\xupw.pdo
Zusätzlich werden in der Registry ein paar Einträge angelegt, so wie es aussieht ein paar Cryptokeys (Bild 1)
und ein Starteintrag bei Winlogon (Bild 2) der xupw.pdo ausführt.

reg1.png

reg2.png

Ich habe die VM mehrfach zurückgesetzt und neu infiziert, wie fast zu erwarten waren die Cryptokeys jedes mal anders.
Möglicherweise wird die xupw.pdo damit beim installieren dynamisch verschlüsselt um Virenscanner ins Leere laufen zu lassen
und eine Analyse der Datei zu erschweren. Der Online-Scan belegt diese Theorie ein wenig, er sagt hierzu:
http://www.virustotal.com/file-scan/rep ... 1287919280
Hier wurden also 5 Scanner weniger fündig als im folgenden Scan.


Die Online-Scanner hatten zur UPS_Document.exe folgendes ausgespuckt:

Scan-Bericht von virustotal.com (aussagekräftig!): http://www.virustotal.com/file-scan/rep ... 288392264#


Scan-Bericht von jotti.org (scheint nicht besonders zuverlässig zu sein):

scan.png

Wenn du deinen Rechner mal von einer Linux-CD o.ä. bootest und die Datei C:\WINDOWS\system32\xupw.pdo
finden solltest dann ist dein System höchstwahrscheinlich verseucht.
Ich hoffe das hilft dir weiter.

Grüße...

[tschosef]

Halli halloooo..

also... ne boot cd hab ich keine hier, muss ich mir von arbeit mit nehmen.... ne linux cd würde mir wohl nix helfen weil NULL PLAN mit linuX!

Is die Datei nicht auffindbar wenn man "normal" gebootet hat? .... krasss...

also in der registry find ich nix das dazu passt... und eine datei finde ich auch nicht.

kann natürlich sein dass sich nach dem starten sowohl der registryeintrag als auch die datei "verstecken"... ich checks mal am montag mit boot cd von arbeit.

gruß und 1000 Dank für deine Mühen!

Erich

PS die beiden Links führen irgendwie ins leere... leider.

gruß derweil
Erich

[goamarty]

Du kannst dir auch Linux - CD Images aus dem Netz laden, zB Knopix oder Ubuntu. Die Befehle cd und dir gibt es auch unter Linux, mehr brauchst du ja nicht um nach einer Datei zu suchen - grafische Filebrowser gibt es aber auch schon lange .
Wenn die 2 Links nicht gehen kann das ein schlechtes Zeichen sein. Virustotal ist heute gegangen, hatte jetzt einmal Timeout, ist beim zweiten Versuch wieder gegangen Ich hatte schon Virenbefall, wo "komischerweise" die Seiten diverser Antiviren-Tools nicht erreichbar waren - geblockt. Daran hab ichs dann auch gemerkt.

[decix]

Is die Datei nicht auffindbar wenn man "normal" gebootet hat? .... krasss...

Das kann durchaus sein, daher schrieb ich ja ausdrücklich das man besser von einem externen System bootet.
Sich selber vor dem Explorer zu verstecken sollte jeder "gute" Virus können sag ich mal
Es macht schlicht keinen Sinn ein laufendes verseuchtes System zu untersuchen.
Die Links zu Virustotal funktionieren einwandfrei, keine Ahnung was da los sein könnte.
Aber auch wenn du nicht dort nachschauen kannst, zusammengefasst steht dort das es sich um nen Trojaner handelt

[tschosef]

hai hai...

alles klar... lad mir grad die knoppix cd runter, dann wissen wir mehr.


viele Grüße derweil
Erich

[tschosef]

Servus servus...

schreib grad von nem anderen pc aus....
auch hier gehen die links nicht..


auf meinem rechner hab ich nu mit knoppix boot cd linux gestartet... eine datei xupw.pdo kann ich nicht finden.....


und nu?

nach wie vor gibt es kein nachvollziehbares anzeichen, dass ich meinen rechner versaut habe.... is so... bisher kein hinweis auf den troyaner....

warum der link auch hier nicht geht is mir ein räzel. Gleicher Virenscanner drauf.. könnte das die ursache sein? evtl verhindert der gleich den zugrif auf die webpage..... hmm...... grübel grübel.
servus derweil
Erich

[tschosef]

hai hai

mit dem aol Browser gehen die links (da greift der mc affee nicht ein..... bei den anderen browsern schon)


tja... soweit sogut... thats it

gruß derweil
ERich

[decix]

@Erich: Wenn sowohl der Registry-Eintrag als auch die Datei bei dir nicht existieren dürfte dein System nicht infiziert sein.
Alternativ zu Knoppix kann man auch Ubuntu als LiveCD benutzen.

Aus aktuellem Anlaß aber nochmal Infos für alle die es interessiert. Ich hatte hier gestern einen Rechner bekommen der
von einem Wurm befallen war. Nichts gefährliches aber doch sehr lästig und renitent.
Er verbreitet sich über Wechseldatenträger (USB-Sticks, SD-Karten, Wechselfestplatten, etc.) und macht in etwa folgendes:
- kopiert sich selber auf jedem auffindbaren Datenträger (2 Dateien: autorun.inf und wurm.vbs)
- ändert die Attribute dieser Dateien auf 'Systemdatei' und 'Versteckt', so daß sie mit den Windows-Defaulteinstellungen nicht mehr sichtbar sind
- Verbiegt Laufwerkspfade so daß man im Explorer keine Unterordner mehr öffnen kann
- Ändert einige Registry-Einträge
- Macht das System träge

Damit einem überhaupt mal auffällt das irgendwo Dateien sind die dort nicht hingehören sollte man diese zunächst
sichtbar machen. Dazu im Explorer (Extras -> Ordneroptionen) am besten folgenden Zustand herstellen:

ordneroptionen.png

Das alles sollte bekannt sein.
Damit es aber gar nicht erst zu einer Infektion durch Scripte kommt sollte man aber noch 2 Standardeinstellungen
von Windows grundsätzlich immer ändern:
- Autostart für CDs/Wechseldatenträger ausschalten
- Windows Scripting Host (wscript.exe) deaktivieren (wenn nicht anderweitig unbedingt benötigt)

Das kann man ganz komfortabel mit xp-AntiSpy machen.

antispy.png

Das nur mal so als Hinweis, denn verseuchte USB-Sticks sind überall im Umlauf.
Habe ich von Bekannten und Arbeitskollegen schon sehr oft bekommen, die merken meist selber nichts bis man
sie darauf hinweist.
Es besteht außerdem der Verdacht das die aus Supermärkten bekannten Foto-Druckautomaten
solche Schädlinge ebenfalls verbreiten können.

Fazit: Virenscanner sind oft hilfreich und stoppen solche Schädlinge, machen aber auch das System langsamer
und versagen schonmal wenn's drauf ankommt. Daher immer alle möglichen Sicherheitsmaßnahmen ausreizen.

Grüße...

[asrael]

@decix: vorbildlich wie du dich da reinhängst

[ChrissOnline]

Jau, bravo.

[tschosef]

hai hai..

jou.... bravo bravo... muss ich echt sagen.
beim lesen deines Beitrages is mir gleich durch den kopf gerauscht, ob man nicht einen Bereich machen sollte... wie
Ärgerliches wie Viren und sonstige Computer Probleme .... oder sowas... alles zu Systemeinstellungen, Schutzmaßnahmen und derartiges.


Gruß derweil
Erich