[Trojaner] UPS_Invoice_NR144.exe

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von Freezer2k, 26. Januar 2010 .

  1. 26. Januar 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    Hallo meine lieben RR'ler,
    ich brauche mal wieder Hilfe.


    Vorgeschichte:
    Ein Bekannter hat diese Datei gerade als Anhang runtergelanden
    und in seiner Unwissenheit auch ausgeführt,
    dass UPS normal eine PDF als Abholschein schickt und keine EXE.
    Klar ist aber, es ist mit sehr hoher Wahrscheinlichkeit ein Trojaner
    wie Vorgänger laut Google. Nur dieses mal wohl besser gepackt.


    Und zwar geht es um die an folgende Email angehängte Datei:
    ups_invoice_nr1144.zip

    EMAIL:
    Spoiler
    -----Original Message-----
    Date: Tue, 26 Jan 2010 17:28:18 +0100
    Subject: UPS Delivery Problem NR 71742.
    From: "UPS Support Burton Grayson" <tracking@ups.com>
    To: <********@t-online.de>

    Dear customer!

    Unfortunately we were not able to deliver postal package sent on the 1st of January in time
    because the addressee's address is incorrect.
    Please print out the invoice copy attached and collect the package at our department.

    United Parcel Service of America.


    Frage:
    Kann ein Sachkundiger diese Datei vielleicht genau zuordnen,
    denn auch jotti und anderen Scanners gibt es nur 2 Ausschläge.

    Vielen Dank im Vorraus.

    MfG
    Freezer



    ANHANG:
    1. Virusdatei: UPS_INCVOICE_NR1144.exe
    2. Onlineanalyse: JOTTI
    3. Onlineanalyse: VIRSCAN

    --> Hinweis:
    Die Datei ist mit hoher Wahrscheinlichkeit ein Virus,
    das entpacken der Datei ist also Leihen und nicht Sachkundigen
    nicht zu empfehlen.
    Ich übernehme für enstandene Schäden keine Verantwortung.
    Es gibt keine Aufforderung die Datei zu öffnen und zu analysieren.
     
  2. 27. Januar 2010
    Zuletzt von einem Moderator bearbeitet: 13. April 2017
    AW: [Trojaner-Frage] UPS_Invoice_NR144.exe

    Ihr lernt das nie, oder?

    http://www.xp-vista.com/spyware-removal/ups_invoice-ups_invoiceexe-removal-instructions
    http://www.pcwelt.de/start/sicherheit/firewall/news/171074/wieder_falsche_paketdienst_mails_mit_malware/

    Die beiden Links sollten dir bestens weiterhelfen.
    -> Einfach mal den Dateinamen bei Google eingeben. Sowas wird meistens nicht nur an eine Person verschickt.
     
  3. 27. Januar 2010
    AW: [Trojaner-Frage] UPS_Invoice_NR144.exe

    Hallo Alex,
    danke für deine schnelle Antwort.

    Nur gleich erstmal ein paar Dinge vorweg:
    1. Ich bin kein "Ihr" mit dem du wahrscheinlich newbie, n00b, etc pp assoziierst.
    2. Ich bin mir der Existenz von Google bewusst und nutze diese auch bevor ich eine Anfrage stelle,
    ich habe absichtlich darauf verzichtet auf Google gefundene Links im Thread zu posten,
    da ich es für mehr als selbstversändlich erachte vorher nach dem besagten Thema zu googeln.

    -->

    3. Meine Anfrage konnte ich deinem Vorschlag nicht klar zuordnen, weil ich keine Anfrage nach
    einem Removal stelle. Meine Frage bezog sich auf den Analyseteil eben der besagten Datei,
    nicht vorangegangener.
    Denn wie schon gesagt die Dateiversion neu ist, erst seit einer Woche im Umlauf
    und bisher nicht von Sachkundigen analisiert worden.

    Ich dankte dir trotzdem für deine schnelle Antwort, BW ist selbstverständlich raus.
    Aber ich möchte dich doch bitten dir die Zurechtweisungen fürs nächste mal zu sparen -
    Es ist nicht jeder einem Cliché zuzuordnen.

    MfG
    Freezer
     
  4. 27. Januar 2010
    AW: [Trojaner-Frage] UPS_Invoice_NR144.exe

    Laut Kaspersky handelt es sich um das hier;
    Trojan-Downloader.Win32.Agent.td - Securelist

    Hat aber schon ein paar Jahre drauf, da hätte jeder gängige Virenscanner anschlagen sollen.
     
  5. 27. Januar 2010
    AW: [Trojaner-Frage] UPS_Invoice_NR144.exe

    Das Ihr bezog sich einfach nur darauf, dass es oft vergessen wird. Völlig Wertungsfrei. Und es gehört mmn trotzdem dort rein.
     
  6. 27. Januar 2010
    AW: [Trojaner-Frage] UPS_Invoice_NR144.exe

    Gut, dann wäre das ja geklärt.



    @Topic:

    Also meine Frage ist nur die Folgende:
    Was genau macht dieser TrojanDownloader denn nun eigentlich?

    Die auftretenden Synthome sind:
    1. CMD und taskmgr.exe lassen sich nicht mehr ausführen
    2. Systemwiederherstellung nicht mehr möglich (exe nicht ausfühbar)
    3. Avira schlug nicht an (halt ich persönlich auch nichts von, wie gesagt nicht mein rechner)
    4. Fake Antispy Nachrichten wie auch in der von Slimboy gepostet Beschreibung von Kaspersky.

    MfG
    Freezer


    PS:
    Kann ein MOD dies bitte in die richtie Rubrik verschieben?
    Danke
     
  7. 27. Januar 2010
    AW: [Trojaner-Frage] UPS_Invoice_NR144.exe

    Der Downloader an sich, wird wie der Name sagt, eine Datei (wahrscheinlich schädlich) auf deinen PC laden und ggf. ausführen. Ich schaue mir die Datei später mal genau an, hab hier grad keine VM.
     
  8. 27. Januar 2010
    AW: [Trojaner-Frage] UPS_Invoice_NR144.exe

    Das wäre sehr nett, da ich persönlich noch keine Erfahrung mit der Analyse von Viren habe.

    Ich habe ersteinmal folgendes gemacht:
    1. Internetverbindung nach 30 Minuten Befall gekappt.
    2. Win XP von USB-Stick gebooted.
    3. Spybot S&D ausgeführt
    --> anschließend war es wieder möglich taskmgr.exe und DOS/CMD auszuführen
    --> genauso wie die Systemwiederherstellung.
    4. Systemwiederherstellung ausgeführt und auf den 26. Januar zurückgesetzt.

    Die Frage ist nun besteht noch Gefahr,
    dass der Trojaner sich repliziert obwohl das System zurückgesetzt wurde?
    Und was muss ich tun um dies herrauszufinden? Reicht eine Hijack-analyse?
    (@alex²: jetzt gehört's wohl in den besagten Bereich )
    Ich denke da wäre eine genaue analyse was der TrojanDownloader dem System zumutet hilfreich.


    Danke und MfG
    Freezer
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.