Dringlich: Benötige Informationen zu ICQ Virus

Hi leute,

ich habe zig neue Anfragen über Youtube zum ICQ Virus bekommen.
Ich selbst benutze kein ICQ und meine Liste ist sehr unübersichtlich.

Alleine weil die Fragen so häufig bei mir aufschlagen habe ich extra eine Frage Antwort seite aus einem Gästebuch gebastelt.

Siehe: xest-international.com/Xest-Social/index.php

Wer von euch hat diesen Virus / Wurm und könnte mich ggf. über ICQ damit auf einen Emulierten PC für eine Analyse Infizieren? Oder wer von euch hat Seriöse Informationen dazu? Ich kann leider nicht genau sagen wie es funktioniert und wie man es entfernt wenn ich selbst keine Analyse durchführen kann.

Ebenso kann ich kein Tutorial Video erstellen wenn ich nichts infiziertes habe und vor allem weiß ich nicht genau was es ist.

Meine ICQ ist: 387Antispam115Antispam924

Zufällig hat mir gerade jemand das gesendet:
h t t p:// s163707190.onlinehome.fr/img/party.php?foto=IMG0207402702010.JPG
NICHT DRAUFKLICKEN BZW. STARTEN!

Ist ne .scr Datei!

Witzig, dann solltest du vielleicht keinen Hyperlink draus machen?

jetzt besser? :ps: :sunglasses:

ich weiß ja net weis bei euch ist… aber ich könnte es net einmal herunter laden ohne mein Antivieren Programm zu deaktivieren^^
Würden die Leute alle nen vernünftiges Antiviren Prog nutzen gäbe es das prob gar nicht bzw. weniger^^ (und würden die dann dazu net jeden Link anklicken etc :smiley: Was passiert eigl. im Normalfall? Nen gültiges Bild ist es ja wohl nicht… und wenns sowie ichs verstanden habe heruntergeladen werden muss, könnte man schon stutzig werden :wink:

Hi,

@White-Tiger es ist ein ‘Bildschirmschoner’. Da Bildschirmschoner unter Windoze nichts anderes als Ausführbare Dateien sind ist es inzwischen in Mode gekommen anstatt .exe Dateien, von denen inzwischen jedes Kind weiß, dass man sie nicht unbedingt anklicken sollte, wenn man keine Ahnung hat, was die Datei macht, werden nun .scr Dateien verteilt, da anscheinend viel mehr Leute die Anklicken um zu schauen, was sich denn für ein toller ‘Bildschirmschoner’ dahinter verbirgt.

das .scr screensaver sind und diese nichts weiter als eine umbenannte .exe ist mir klar… [size=85](als Programmierer natürlich auch schon mit solchen beschäftigt)[/size]
Nur ist das Bild an sich ja nen JPG^^ Wie gesagt ich kann den DL net testen da mein Antivirus blockt und ich das net ausmachen will :smiley:
Meine frage bezog sich eher darauf was dann passiert… aber ich denke meine Vermutung ist richtig zu mals ja auch ne .scr sein muss^^ Daher wird man zum DL einer .scr Datei angefordert wenn man versucht die Seite zu laden richtig?

edit:
ok is ja beim näheren hinsehen net ma nen JPG^^ Ist nur NAME.JPG als variable an ein PHP Script übergeben :smiley:

Richtig, sieht man sofort, wenn man sich das ganze mal bspw. mit dem Web-Sniffer anschaut:

Dieser Header bringt den Browser dazu, den Download-Dialog zu öffnen, und der Dateiname, unter dem das gespeichert werden soll, wird auch vorgegeben - mit der Endung .scr

Und wenn dann Otto Normaluser auch noch die dumme Windows-Voreinstellung „bekannte Dateitypen ausblenden“ im Explorer nicht geändert hat, dann wird das als vermeintliche JPG-Datei angezeigt - und dann beim Doppelklick darauf die ausführbare Datei gestartet.

Ich danke euch tausendmal

Ich kann nun anfangen mit der Analyse melde mich später.
Meine Güte ich versteh das nicht. Wieso nutzt denn keiner nen Antiviren Programm.

Das übrigens was ich alle paar stunden bekomme

ah ja… das Windoof als Voreinstellung die Endung ausblendet find ich seit Mista (oder erst ab 7?) Schwachsinn… bei XP ists ok denn immer wenn man ne Datei umbenennt erwischt man auch die Endung…daher würd Otto Normalbenutzer diese mit wegbenennen, das ist zum Glück geändert wurden.

Ich denke mal das wurde eingeführt weil soviele leute eher die Mac user unter den PCs sind.
Hauptsache einfach und der Rechner macht schon.

[quote=„DeusEx“]
Wer von euch hat diesen Virus / Wurm und könnte mich ggf. über ICQ damit auf einen Emulierten PC für eine Analyse Infizieren? Oder wer von euch hat Seriöse Informationen dazu? Ich kann leider nicht genau sagen wie es funktioniert und wie man es entfernt wenn ich selbst keine Analyse durchführen kann.[/quote]

Hast du schon mal danach gegooglet? Nur mal so ne frage ^^ :ps:
forum.avira.com/wbb/index.php?pa … dID=111451

Ich würde zuerst mit Avira Free und danach mit AVG Free Scannen…
danach ggf. das Avira Forum aufsuchen (forums.avg.com/de-de/avg-free-forum) und dort halt ein eigenes Thema erstellen. (Mit Virus Namen, Scan-Bericht, HijackLog usw…)

Danke für deinen Hinweis
aber mich Interessiert nicht wirklich was Avira dazu sagt zumal es das nicht erkennt :wink:
Ich mache meine eigenen Analysen. :wink: es ist nicht mein Job dinge von anderen Nachzuplappern.

BTW: habe ich mich grade damit Infiziert. Echt ein relativ einfacher Wurm.

[quote=“DeusEx”]
BTW: habe ich mich grade damit Infiziert. Echt ein relativ einfacher Wurm.[/quote]

aha…
Schreibst du ein Entfernungstool?

Machst du mir bitte den gefallen und Lädst dieses Bild mal auf analysis.avira.com/samples/index.php) hoch?

[quote=“fishi”][quote=“DeusEx”]
BTW: habe ich mich grade damit Infiziert. Echt ein relativ einfacher Wurm.[/quote]

aha…
Schreibst du ein Entfernungstool?

Machst du mir bitte den gefallen und Lädst dieses Bild mal auf analysis.avira.com/samples/index.php) hoch?[/quote]

Es ist kein Bild es ist ein ein Programm getarnt als Screensaver. Ja das mache ich gleich :slight_smile:
ich muss nur noch zig mal die registrierung sowie das Filesystem durchscannen wo er sich überall reinschreibt oder was er verändert. Das Dauert leider etwas :frowning:

Das macht er in der Registrierung:

Hier die Komplette Tätigkeit des Screensavers
rapidshare.com/files/377494499/Logfile.CSV.html

Er macht also folgendes:

Schreibt sich in:
C:\WINDOWS\system32\winmm.dll
C:\WINDOWS\Prefetch\IMG0207402702010.JPG.SCR-0595260

Schaut ob es hier Installiert ist:

15005,"22:37:37,2432085","IMG0207402702010.JPG.scr","1800","RegQueryValue","HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32\IMG0207402702010.JPG","NAME NOT FOUND","Length: 172"

Sieht das es nicht dort ist und macht mit anderen sachen weiter :ps: so nach dem Motto… ach is ja auch egal.

Den Mixer:

15120,"22:37:37,2557330","IMG0207402702010.JPG.scr","1800","RegQueryValue","HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer","SUCCESS","Type: REG_SZ, Length: 22, Data: wdmaud.drv"

Verändert die Windows Töne (Nur in der Registrierung) Hier:

15084,"22:37:37,2544337","IMG0207402702010.JPG.scr","1800","RegQueryValue","HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave","SUCCESS","Type: REG_SZ, Length: 22, Data: wdmaud.drv"

Erstellt einen EOF Eintrag:

15055,"22:37:37,2509087","IMG0207402702010.JPG.scr","1800","SetEndOfFileInformationFile","C:\WINDOWS\system32\config\software.LOG","SUCCESS","EndOfFile: 12.288"

(er nutzt also die windows sounds) das ding ist total sick programmiert. Kein wunder das es noch nicht erkannt wurde. Es macht im grunde noch nicht viel. Kein Autostart, keine Software runterladen, sich nicht in ICQ reinschreiben. Es schlummert in den Windows Sounds und einem Joystick treiber. Jetzt muss man herrausfinden ab wann es aktiv wird.
Ich mutmaße derzeit das es anfängt spaß zu haben wenn man Windows Töne abspielt (beim Hochfahren)

Bei mir macht er derzeit einfach garnichts. Hat nen paar Registrierungseinträge geschrieben und macht nun garnichts mehr. :ps: nen paar Dateiatribute verändert

C:\WINDOWS\Prefetch\AVWSC.EXE-0283F9DD.pf C:\WINDOWS\Prefetch\IMG0207402702010.JPG.SCR-05952601.pf C:\WINDOWS\system32\config\software.LOG C:\WINDOWS\system32\wbem\Logs\wbemcore.log C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP C:\Documents and Settings\Administrator\ntuser.dat.LOG C:\WINDOWS\Prefetch\AVWSC.EXE-0283F9DD.pf C:\WINDOWS\Prefetch\IMG0207402702010.JPG.SCR-05952601.pf C:\WINDOWS\system32\config\software.LOG C:\WINDOWS\system32\wbem\Logs\wbemcore.log C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP

Was das fürn Wurm der macht bei mir garnix ausser in der Registrierung Knacken…

Zusammenfassung:

Values added:2 HKU\S-1-5-21-854245398-764733703-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Nqzvavfgengbe\Qrfxgbc\VZT0207402702010.WCT.fpe: 04 00 00 00 06 00 00 00 F0 70 58 69 72 DF CA 01 HKU\S-1-5-21-854245398-764733703-1801674531-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator\Desktop\IMG0207402702010.JPG.scr: "IMG0207402702010.JPG"

[code]Values modified:3
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: BC 05 AA E4 65 A9 C7 4A 2C 0F DF 9D 67 BF 77 1B 7D 3A 1B C6 EC 8F 24 BF B6 C2 99 32 6F 62 75 08 ED D8 EA 6D 35 1A 1B 1B 9B 4A 62 C1 B2 F5 53 C5 20 E3 9C 1E 14 91 48 6C B9 0F 8F C2 F5 F5 06 7A 61 93 C7 85 BD AA 8D 92 4D 52 85 07 A3 B2 36 4A
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: B3 07 70 D0 9B 2D 7E 23 43 4E FD D8 D5 B8 A2 3B B8 E9 89 C8 8A 4A 7D 15 3F 54 69 19 CC 6B FE 98 58 3C 53 A1 23 90 5E 06 82 7A C8 5B 75 A9 E0 7C BF C0 D9 BA 52 4C F5 29 B7 F1 28 6C AF 4F 4B 57 84 FD 10 58 43 2B 2E 58 8A B2 C2 A5 E1 DE 09 0A
HKU\S-1-5-21-854245398-764733703-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 04 00 00 00 00 01 00 00 A0 BC B7 E6 71 DF CA 01
HKU\S-1-5-21-854245398-764733703-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 04 00 00 00 01 01 00 00 F0 70 58 69 72 DF CA 01
HKU\S-1-5-21-854245398-764733703-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_HVFPHG: 04 00 00 00 C3 00 00 00 40 10 1E E2 71 DF CA 01
HKU\S-1-5-21-854245398-764733703-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_HVFPHG: 04 00 00 00 C4 00 00 00 D0 B4 99 68 72 DF CA 01

Files added:2
C:\WINDOWS\Prefetch\IMG0207402702010.JPG.SCR-05952601.pf
C:\WINDOWS\Prefetch\IMG0207402702010.JPG.SCR-05952601.pf

Files deleted:2
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb

Files [attributes?] modified:11
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log
C:\WINDOWS\system32\config\software.LOG
C:\Documents and Settings\Administrator\Application Data\ICQ\299356066\Owner.qdb
C:\Documents and Settings\Administrator\Application Data\ICQ\299356066\Owner.qdb-journal

C:\Documents and Settings\Administrator\ntuser.dat.LOG
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log
C:\WINDOWS\system32\config\software.LOG

Total changes:20 [/code]

5 Stunden später…
Es passiert garnix… muss ich das jetzt unter 98 Testen oder was :ps:

Windows XP SP2 und ICQ7 da passiert rein garnix, er verändert zwar ein paar Schlüssel in der Registrierung und greift auf die Soundtreiber zu doch er funktioniert damit schlichtweg nicht.

Ich versuche es jetzt mit Pro7 ICQ7.1 und WinXP SP2 (Wie ich icq hasse wer zum heck braucht xtras und nen facebook chat)

BTW: nen Update von Antivir ist draußen die datei meldet er jetzt vor der ausführung.

So ich bin fertig.
In anbetracht der Situation das Antivir den Download verhindert (allerdings nicht in der lage ist ihn zu entfernen sowie er drauf ist) sowie der Anzahl der Manipulierten Registrierungseinträge die für das System wichtig sind und Treiber gibt es nur eine lösung.

“System Wiederherstellung und Lehrgeld zahlen”. Der ganze Wurm ist nicht so aufgebaut wie ein 0815 Botnetzwerk oder Trojaner den du mal eben beenden kannst und entfernen kannst mit nen paar Handgriffen.

Plot:

Bei diesem “virus” handelt es sich um einen ICQ-Wurm der sich über das Netzwerk ICQ7 vorlieb auf dem Pro7-ICQ7.1 Clienten verbreitet. Befallene Personen verbreiten ohne das sie es wollen einen Link zu einem Server. Der Link wurde getarnt als Harmloses Bild. Klickt nun eine Person auf den Link bekommt er statt einem Bild ein Programm als Screensaver (Bildschirmschoner) getarnt. Wird dieses nun Ausgeführt Manipuliert der Wurm die Windows Soundtreiber sowie diverse Registrierungseinträge des Betriebssystems. Antivir (Avira) erkennt mittlerweile den Wurm (VOR) der ausführung als Trojaner. Befallene Computer haben aufgrund der vielfach Manipulierten Systemeinträge nur noch die möglichkeit über eine Betriebssystem Wiederherstellung ihren Computer zu säubern.

Dafür:
Notwendige Daten Sichern (Keinesfalls ICQ Ordner)
Betriebssystem CD/DVD einlegen und eine Wiederherstellung starten.

Wenn ich mal fragen darf… was haste eigentlich vor Oo?

Nix mehr, ich bin fertig ich wollte nur die Fragen beantworten die ich zu hauf in Youtube bekomme. Ich hatte gehofft das man ihn manuell entfernen kann, was bei der sachlage nicht möglich ist.

(Sowas hier wäre schön gewesen) youtube.com/watch?v=X0Tjo1DUNMU

So hier die Zusammenfassung
youtube.com/watch?v=FpJ6txMZ4Vs
youtube.com/watch?v=zYbOJoDJ79M

Moin,

hab mir grad mal deine Videos angeschaut und muss sagen: gefällt mir. Gibt ja ne Menge Mist in YouTube aber dafür ist mal nen Lob angebracht.

(Kann mir zwar eigentlich Wurscht sein, weil ich unter Linux mit Windows-Viren höchstens in der VM zutun hab aber für Diagnosen bei Freunden kann es sicher nicht schaden.)

Mich würd ja interessieren, wie du sowas rausfindest. Du hast ja mal dieses Programm im Video erwähnt aber wenn du mal Zeit hast, fänd ich nen Video cool, in dem du erklärst, wie du so einen Virus analysierst.

Und ich frag mich ja wie der ICQ-Virus den Link rumschicken kann, ohne dass ein Prozess läuft. Gibts da ne kurze Antwort drauf oder ist das zu kompliziert?

Also danke schonmal, sehr interessant.

Gruß, Markus

EDIT: Ah hab grad die IT-Forensik entdeckt, das is ja scheinbar schon so ein Video, was ich gesucht hab :slight_smile: Sehr interessant.