virus-informer.de: W32/Document-disguised-based! Maximus Virus

26.02.07 14:21 Age: 4 yrs

W32/Document-disguised-based! Maximus Virus

Category: Virus

By: Florin Caministeanu

Virus Name:
Troj.Downloader.W32.Agent.bgd

Auch gewußt als:
Downloader;
W32/Document-disguised-based!Maximus

Virusmuster:
2007020701

Dateigröße:
14336 Bytes

MD5: 9b4a8b6d019dd25a70b118b7393eb18b
SHA1: d0e5ef9783fb80812fb1576e1e38cec44d74218b

Virustyp:
Spyware

Fortpflanzungsmethode:
E-Mail mit Anlage .pdf.exe, .zip oder .rar

Betroffene Systeme:
Windows 95 / 98 / Me / NT / 2000 / XP

Risikostufe:
Low

Das Virus W32/Document-disguised-based!Maximus wird üblicherweise vom Trojan.Fakebill Virus begleitet. W32/Document-disguised-based!Maximus ist nicht ein Virus oder Trojaner. Es ist ein Spyware-Programm und beabsichtigt den Tastendruck, die Schirmschüsse und URLs von den WebPages zu protokollieren, die der Benutzer besichtigt. Es protokolliert die Bewerbungen auch, die auf dem System ausgeführt wurden. Es kann ins Sichtbaren -/Schläuemodus laufen.

Trojan.Fakebill Virus reproduziert sich nicht. Es ist von Hand ausgebreitet, oft in einem programm, das scheint dem System etwas gutes zu tun. Verteilungswege für Trojaner umfassen IRC, Peer-to-Peer-Netze, newsgroup-postings,E-mail,etc.

Das Virus kann durch die folgenden E-Mailstypen kommen:

E-Mails mit GEZ Rechnung als Anlage (RechnungGEZ.pdf.exe).
Die Anlage bitte nicht öffnen!!
Eine angeblich von der GEZ verschickte Rechnung über 445,99 Euro schockt die User und veranlasst zum Klicken auf RechnungGEZ.pdf - bei den Windows
Voreinstellungen wird die .exe ausgeblendet . Infekt mit einem Trojaner ist die Folge.
Datei: RechnungGEZ.pdf.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
AntiVir              : TR/Dldr.iBill.C gefunden
ClamAV               : Trojan.Downloader-596 gefunden
Dr.Web               : Trojan.DownLoader.17517 gefunden
F-Prot Antivirus     : Möglich eine neue Variante von W32/Document-disguised-based!Maximus gefunden
F-Secure Anti-Virus : Trojan-Downloader.Win32.Small.efe gefunden
Kaspersky Anti-Virus : Trojan-Downloader.Win32.Small.efe gefunden.

E-Mails mit IKEA Rechnung als Anlage (RG_unYH8nfi32in.pdf.exe).
Die Anlage bitte nicht öffnen!!
Sender: ***
Recipient: ***
Subject bzw. Anhang hin und wieder auch mit anderen Namen:
Subject: Ihre detaillierte IKEA Rechnung
Subject: Ihre IKEA Bestellung
Subject: Rechnung IKEA 10.2.2007
Subject: Detaillierte IKEA Rechnung
MessageID: l1JJTnD1007345
IP Address: ***
Report: ./RG_unYH8nfi32in.pdf.exe Infection: Possibly a new variant of W32/Document-disguised-based!Maximus
          RG_unYH8nfi32in.pdf.exe contains Trojan.Fakebill
          Executable DOS/Windows programs are dangerous in email (RG_unYH8nfi32in.pdf.exe)
Report: ./IKEA574Rechnung.zip->RG_unYH8nfi32in.pdf.exe Infection: Possibly a new variant of W32/Document-disguised-based!Maximus
          IKEA574Rechnung.zip contains Trojan.Fakebill
Report: ./Rechnung_n212n.zip->RG_unYH8nfi32in.pdf.exe Infection: Possibly a new variant of W32/Document-disguised-based!Maximus
          Rechnung_n212n.zip contains Trojan.Fakebill
        ./RG_unYH8nfi32in.pdf.exe Infection: Possibly a new variant of W32/Document-disguised-based!Maximus
          RG_unYH8nfi32in.pdf.exe contains Trojan.Fakebill
          Executable DOS/Windows programs are dangerous in email (RG_unYH8nfi32in.pdf.exe)

Das Virus hat bei den verschiedenen Herstellern (mal wieder) unterschiedliche Namen: Infection: W32/Downloader.gen2
Downloader-AAP trojan !!!
TR/Dldr.iBill.U

In dieser Variante ist der Virus in einem Archiv (Auch hier scheint es Varianten mit ZIP und RAR zu geben).

E-Mails mit wichtige update als Anlage (Update-KB2640-x86.zip).
Die Anlage bitte nicht öffnen!!
Die Datei Update-KB7859-x86.zip enthält die Datei Update-KB7859-x86.exe, und die .EXE hat das Trojan.Fakebill Virus. In diesem Fall, kann die IP Adresse des Senders 195.82.81.114 sein, und das ist ein Server aus Cologne, Nordrhein-Westfalen. Durch dieser Server die folgende verbindungen sind Möglich: Leverkusen-NW, Dülmen-NW, Dormagen-NW, Sankt Augustin-NW, Bonn-NW, Hilden-NW, Hennef-NW, Solingen-NW, Haan-NW, Remscheid-NW, Neuss-NW, Dusseldorf-NW, Wuppertal-NW, Ratingen-NW, Willich-NW, Mönchengladbach-NW, Linz Am Rhein-RP, Hamm-NW, Krefeld-NW, Viersen-NW, Luedenscheid-NW, Essen-NW, Oberhausen-NW, Duisburg-NW, Geilenkirchen-NW, Wassenberg-NW.

Schutz

1) Windows Me und XP nutzen ein automatisch Wiederherstellung von C:\_Restore Ordner. Dies heißt, daß ein verseuchter Ordner dort als ein Sicherstellungsordner gelagert werden könnte und VirusScan unfähig sein wird, diese Ordner auszustreichen. Sie müssen das Wiederherstellung sperren, um die verseuchten Ordner vom C:\_Restore-Ordner zu entfernen.

2) Bringen Sie Ihr System und die anti-virus Programme auf den neuesten Stand, bei benutzen nur die Hersteller Webseiten.

3) Nicht öffnen Anlagen von unbekanten E-Mails.

4) Konfigurieren Ihr anti-virus Programm auch in E-Mails und Archive zu scannen.

<- Back to: virus-informer.de


	26.02.07 14:21 Age: 4 yrs W32/Document-disguised-based! Maximus Virus Category: Virus By: Florin Caministeanu Virus Name: Troj.Downloader.W32.Agent.bgd Auch gewußt als: Downloader; W32/Document-disguised-based!Maximus Virusmuster: 2007020701 Dateigröße: 14336 Bytes MD5: 9b4a8b6d019dd25a70b118b7393eb18b SHA1: d0e5ef9783fb80812fb1576e1e38cec44d74218b Virustyp: Spyware Fortpflanzungsmethode: E-Mail mit Anlage .pdf.exe, .zip oder .rar Betroffene Systeme: Windows 95 / 98 / Me / NT / 2000 / XP Risikostufe: Low Das Virus W32/Document-disguised-based!Maximus wird üblicherweise vom Trojan.Fakebill Virus begleitet. W32/Document-disguised-based!Maximus ist nicht ein Virus oder Trojaner. Es ist ein Spyware-Programm und beabsichtigt den Tastendruck, die Schirmschüsse und URLs von den WebPages zu protokollieren, die der Benutzer besichtigt. Es protokolliert die Bewerbungen auch, die auf dem System ausgeführt wurden. Es kann ins Sichtbaren -/Schläuemodus laufen. Trojan.Fakebill Virus reproduziert sich nicht. Es ist von Hand ausgebreitet, oft in einem programm, das scheint dem System etwas gutes zu tun. Verteilungswege für Trojaner umfassen IRC, Peer-to-Peer-Netze, newsgroup-postings,E-mail,etc. Das Virus kann durch die folgenden E-Mailstypen kommen: E-Mails mit GEZ Rechnung als Anlage (RechnungGEZ.pdf.exe). Die Anlage bitte nicht öffnen!! Eine angeblich von der GEZ verschickte Rechnung über 445,99 Euro schockt die User und veranlasst zum Klicken auf RechnungGEZ.pdf - bei den Windows Voreinstellungen wird die .exe ausgeblendet . Infekt mit einem Trojaner ist die Folge. Datei: RechnungGEZ.pdf.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: AntiVir : TR/Dldr.iBill.C gefunden ClamAV : Trojan.Downloader-596 gefunden Dr.Web : Trojan.DownLoader.17517 gefunden F-Prot Antivirus : Möglich eine neue Variante von W32/Document-disguised-based!Maximus gefunden F-Secure Anti-Virus : Trojan-Downloader.Win32.Small.efe gefunden Kaspersky Anti-Virus : Trojan-Downloader.Win32.Small.efe gefunden. E-Mails mit IKEA Rechnung als Anlage (RG_unYH8nfi32in.pdf.exe). Die Anlage bitte nicht öffnen!! Sender: * Recipient: * Subject bzw. Anhang hin und wieder auch mit anderen Namen: Subject: Ihre detaillierte IKEA Rechnung Subject: Ihre IKEA Bestellung Subject: Rechnung IKEA 10.2.2007 Subject: Detaillierte IKEA Rechnung MessageID: l1JJTnD1007345 IP Address: * Report: ./RG_unYH8nfi32in.pdf.exe Infection: Possibly a new variant of W32/Document-disguised-based!Maximus RG_unYH8nfi32in.pdf.exe contains Trojan.Fakebill Executable DOS/Windows programs are dangerous in email (RG_unYH8nfi32in.pdf.exe) Report: ./IKEA574Rechnung.zip->RG_unYH8nfi32in.pdf.exe Infection: Possibly a new variant of W32/Document-disguised-based!Maximus IKEA574Rechnung.zip contains Trojan.Fakebill Report: ./Rechnung_n212n.zip->RG_unYH8nfi32in.pdf.exe Infection: Possibly a new variant of W32/Document-disguised-based!Maximus Rechnung_n212n.zip contains Trojan.Fakebill ./RG_unYH8nfi32in.pdf.exe Infection: Possibly a new variant of W32/Document-disguised-based!Maximus RG_unYH8nfi32in.pdf.exe contains Trojan.Fakebill Executable DOS/Windows programs are dangerous in email (RG_unYH8nfi32in.pdf.exe) Das Virus hat bei den verschiedenen Herstellern (mal wieder) unterschiedliche Namen: Infection: W32/Downloader.gen2 Downloader-AAP trojan !!! TR/Dldr.iBill.U In dieser Variante ist der Virus in einem Archiv (Auch hier scheint es Varianten mit ZIP und RAR zu geben). E-Mails mit wichtige update als Anlage (Update-KB2640-x86.zip). Die Anlage bitte nicht öffnen!! Die Datei Update-KB7859-x86.zip enthält die Datei Update-KB7859-x86.exe, und die .EXE hat das Trojan.Fakebill Virus. In diesem Fall, kann die IP Adresse des Senders 195.82.81.114 sein, und das ist ein Server aus Cologne, Nordrhein-Westfalen. Durch dieser Server die folgende verbindungen sind Möglich: Leverkusen-NW, Dülmen-NW, Dormagen-NW, Sankt Augustin-NW, Bonn-NW, Hilden-NW, Hennef-NW, Solingen-NW, Haan-NW, Remscheid-NW, Neuss-NW, Dusseldorf-NW, Wuppertal-NW, Ratingen-NW, Willich-NW, Mönchengladbach-NW, Linz Am Rhein-RP, Hamm-NW, Krefeld-NW, Viersen-NW, Luedenscheid-NW, Essen-NW, Oberhausen-NW, Duisburg-NW, Geilenkirchen-NW, Wassenberg-NW. Schutz** 1) Windows Me und XP nutzen ein automatisch Wiederherstellung von C:\_Restore Ordner. Dies heißt, daß ein verseuchter Ordner dort als ein Sicherstellungsordner gelagert werden könnte und VirusScan unfähig sein wird, diese Ordner auszustreichen. Sie müssen das Wiederherstellung sperren, um die verseuchten Ordner vom C:\_Restore-Ordner zu entfernen. 2) Bringen Sie Ihr System und die anti-virus Programme auf den neuesten Stand, bei benutzen nur die Hersteller Webseiten. 3) Nicht öffnen Anlagen von unbekanten E-Mails. 4) Konfigurieren Ihr anti-virus Programm auch in E-Mails und Archive zu scannen. <- Back to: virus-informer.de
home Impressum