Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1622

[MS/Windows] Malware in Warnung zu Conficker.B-Infektion
(2010-02-17 15:58:30.106466+00)


Eine neue Welle von E-Mail-Nachrichten weisen den Empfänger auf eine angebliche Infektion seines Systems mit dem Conficker.B-Bot hin. Die Nachrichten wurden vorgeblich vom "Microsoft Team" verschickt und haben den Betreff "Conflicker.B Infection Alert". Sie enthalten im Anhang die Datei open.zip die angeblich ein "antispyware program" sei, das beherbergende System nach dem Öffnen jedoch infiziert. Derzeit erkennen nur rund 50% der gängigsten Antivirusprogramme die Malware.

Inhalt

Zusammenfassung

Betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Die Nachricht enthält einen Text vom "Microsoft Team", der dem Empfänger mitteilt, dass "sein Netzwerk infiziert" sei:

  Microsoft has been advised by your Internet provider that your network
  is infected.

Weiter wird gebeten, den im Anhang enthaltenen "scanner" zu installieren um eine weitere Ausbreitung der Malware zu unterbinden:

  To counteract further spread we advise removing the infection using an
  antispyware program. We are supplying all effected Windows Users with a
  free system scan in order to clean any files infected by the virus.

  Please install attached file to start the scan. The process takes
  under a minute and will prevent your files from being compromised. We
  appreciate your prompt cooperation.

Im Anhang ist die Datei open.zip enthalten, die jedoch mitnichten den avisierten "scanner" sondern einen Loader, der sich auf dem befallenen System installiert, einen Registry-Eintrag vornimmt, um auch nach zwischenzeitlichem Ausschalten des Systems wieder aktiviert zu werden, und dann Malware aus dem Internet nachlädt, die die eigentliche Schadfunktion enthält. Üblicherweise werden infizierte Systeme als Bot missbraucht.

Workaround

Gegenmaßnahmen

Erkennungsrate durch Malwarescanner

Die Malware wird bislang nur von rund 50% der gängigen Malwareerkennungsprogrammen sicher identifiziert. Eine am 2010-02-17 durchgeführte Analyse zur Erkennungsrate durch gängige Malwarescanner ergab folgendes Ergebnis:
              File open.zip received on 2010.02.17 13:38:20 (UTC)
                           Current status: finished
                            Result: 20/40 (50.00%)
                                Compact Compact
                          Print results Print results
    Antivirus         Version     Last Update              Result
a-squared          4.5.0.50       2010.02.17  -
AhnLab-V3          5.0.0.2        2010.02.16  -
AntiVir            8.2.1.170      2010.02.17  TR/Crypt.XPACK.Gen
Antiy-AVL          2.0.3.7        2010.02.17  -
Authentium         5.2.0.5        2010.02.17
W32/SuspPack.BI.gen!Eldorado
AVG                9.0.0.730      2010.02.17  -
BitDefender        7.2            2010.02.17  -
CAT-QuickHeal      10.00          2010.02.17  Win32.Packed.Katusha.a.4
ClamAV             0.96.0.0-git   2010.02.17  -
Comodo             3969           2010.02.17  -
DrWeb              5.0.1.12222    2010.02.17  Trojan.DownLoad.41551
eSafe              7.0.17.0       2010.02.16  -
eTrust-Vet         35.2.7308      2010.02.17  Win32/Bredolab.D!generic
F-Prot             4.5.1.85       2010.02.16  W32/SuspPack.BI.gen!Eldorado
F-Secure           9.0.15370.0    2010.02.17  -
Fortinet           4.0.14.0       2010.02.15  -
GData              21             2010.02.17  Win32:Bredolab-CC
Ikarus             T3.1.1.80.0    2010.02.17  -
Jiangmin           13.0.900       2010.02.17  -
K7AntiVirus        7.10.974       2010.02.15  -
Kaspersky          7.0.0.125      2010.02.17  Packed.Win32.Krap.x
McAfee             5894           2010.02.16  Generic Dropper.lr
McAfee+Artemis     5894           2010.02.16  Generic Dropper.lr
McAfee-GW-Edition  6.8.5          2010.02.17  Trojan.Crypt.XPACK.Gen
Microsoft          1.5406         2010.02.17  -
NOD32              4873           2010.02.17  a variant of Win32/Kryptik.CJT
Norman             6.04.08        2010.02.17  -
nProtect           2009.1.8.0     2010.02.17  -
Panda              10.0.2.2       2010.02.16  Suspicious file
PCTools            7.0.3.5        2010.02.17  HeurEngine.MaliciousPacker
Prevx              3.0            2010.02.17  -
Rising             22.34.01.03    2010.02.11  -
Sophos             4.50.0         2010.02.17  Mal/EncPk-KW
Sunbelt            5682           2010.02.17  Trojan.Win32.Bredolab.Gen.2 (v)
Symantec           20091.2.0.41   2010.02.17  Packed.Generic.265
TheHacker          6.5.1.4.197    2010.02.17  Trojan/Agent.gen
TrendMicro         9.120.0.1004   2010.02.17  Mal_Bredo-8
VBA32              3.12.12.2      2010.02.16  -
ViRobot            2010.2.17.2190 2010.02.17  -
VirusBuster        5.0.21.0       2010.02.17  Trojan.Fraudload.Gen!Pac.5

                            Additional information
File size: 6907 bytes
MD5   : b22faf95f1519ce66bfed0621310a7da
SHA1  : 8f1dcf934bfbcb5874fdbc59e65040b0ebf62f4b
SHA256: ba659b0bd381667eacf1d277776da12582d624189569b8ece500dc71ea696678
TrID  : File type identification
ZIP compressed archive (100.0%)
ssdeep: 192:WbI7Q87u3KNQlWIToym/efBMzWjt1Pm/Il2sj23KANU+s:WR87u3UQl8tefB/PoIUsj23KuU+s

Ein aktuelles Ergebnis der Analyse findet sich hier: http://www.virustotal.com/analisis/ba659b0bd381667eacf1d277776da12582d624189569b8ece500dc71ea696678-1266413900

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1622