Thema: ICQ Virus wieder Unterwegs !!!

Guten abend zusammen,
ich hab mich ja schonmal zu dem Thema gemeldet, jedoch war der Virus damals in einer anderen Form, wie ich es heute wieder miterlebt habe...

Hier mal kurtz meine "neue" Geschichte:
Als ich grade eben von ner Party von nem Kollegen heimgekommen bin, ging ich kurtz noch ins ICQ...

Als ich sah, dass ne Freundin von mir noch on war, schrieb ich sie an, ihr kennt das ja, anfangs eben "hi" usw...

Dann in der mitte vom Gespräch bekam ich Plötzlich wieder einen Link zugeschickt, hier mal die Nachricht:

"Your buddy has sent you a cool Smiley, to get it click (link)"

natürlich habe ich nicht draufgeklickt, da es 100 Prozent irgent ein Link zu ner Trojaner-Seite war... Denke wieder, dass der Ablauf von dem Virus wieder der selbe ist, wie es auch frühr schon war: Der Link wird von einem Infizierten ICQ User unbemerkt und unbeabsichtigt an alle Listenmitglieder geschickt, da der Trojaner das Passwort ausgespäht hat, und dann automatischsich im ICQ einloggt, sogar wenn man selbst mit dem Rechner off ist... Der Virus hat scheinbar ne eigene engine, um sich komplett selbständig bei den ICQ Servern einzuloggen, um kurtz an alle Listenteilnehmer den Link zu schicken, und dann direkt drauf (also nach dem Versenden des Links) wieder offline geht...

Wollte also nur mal wieder den Apell an alle ICQ User stellen:

!!!ÖFFNET PLS KEINE LINKS, DIE EUCH KOMISCH VORKOMMEN!!! (zb. Links, die mit unseriösem Inhalt auf einen Link verweisen, meinst auf .com oder .ru Adressen !!!)

Was ich jetzt jedoch selbst Fragen muss:

Ich bekomme seit ca. 2 Wochen konstant Nachrichten von irgentjemandem aus Tailand zugeschickt, kann natürlich keine Wort lesen, aber mir scheint es so, als wäre es immer wieder das selbe...

Jetzt meine Frage, kann es sein, dass es sich hierbei auch um irgent ein Virus handelt ?! Kanns mir jedoch nicht vorstellen, da kein Link und nichts mit dabei ist...

mfg

ich bekomm auch irgendwie schon seit 2 oder 3 wochen nachrichten auf russisch oder so xD O.o aber letzter zeit kaum noch

Hi,

am Besten diese Absender auf die Blockierliste setzen, dann dürfte nichts mehr durchkommen. Wenn es zu nervig wird, kannst Du Dir einen neuen Account erstellen, wenn es Dir nicht zu umständlich ist, Deinen Freunden allen Deine neue Nummer mitzuteilen.

Herzlichen Dank für Deine Virenwarnung!

kein Problem =)

werde euch weiterhin auf dem Laufenden halten, werde gleich mal zu meiner Freundn gehn, und den Rechner auf Viren prüfen, sag euch danach mal, ob was gefunden wurde, und wenn ja, was....

also, bis später

mfg

soooo....

also, ich war jetzt mal bei ihr, hab ihr den Rechner und die Registry usw mal durchgekaut, hab auch n paar seltsame Einträge gefunden, diese sorgen dafür, dass eine sogenante "gift.exe" tief in Windows/system32 läuft...

Habs dann alles mal gescant, wurde aber nicht als Warnung angezeigt =/ bin mir aber sicher, dass die .exe nicht normal ist, hab dann mal den Ursprung der .exe nachvollzogen, und zwar wurde die .exe am 28.12.08 um 04:23 Oo durch den i-net explorer gedownt...

Meine Freundin meinte aber, dass sie da niemals am Rechner war, da ich sie gut kenne, und sie eig recht selten am Rechner ist, glaub ich ihr das auch...

Sie erinnerte sich aber dran, dass sie am 28 nachmittags mal was geschickt bekommen hat, aber nicht angenommen habe...

Jetzt 2 Fragen:
-Kann sein, dass dadurch auch was aufn Rechner kam !?

-Und kann es sich bei der "gift.exe" um einen Virus handeln !?

mfg

Hi,

gift.exe ist ein Schädling, der sofort gefixed werden muß. Lade bitte Mawarebytes herunter, und mache damit einen Scan, er kann gut eine Stunde dauern, dann löschen, was das Tool findet. Ist diese gift.exe immer noch da, melde Dich bitte wieder. Auch gerne, wenn es weg ist.

ist ja nichts neues sowas kenne ich von MSN aus.Aber auf jeden Fall danke für den Tipp.

ich bekomme auch schon wochenlang auch von so einen nur der benutername ist die Icq Nummer von mir das kommt mir voll Spanisch vor der schickt im sekunden takt nur ?????????? hab ihn gleich auf ignore gesetzt, habt ihr auch sowas das einer der wie die icq nummer von euch heißt?

gtaproof

ich bekomme auch schon wochenlang auch von so einen nur der benutername ist die Icq Nummer von mir das kommt mir voll Spanisch vor der schickt im sekunden takt nur ?????????? hab ihn gleich auf ignore gesetzt, habt ihr auch sowas das einer der wie die icq nummer von euch heißt?

419084759.
Aber das ist nur eine von vielen.
Ist vermutlich ein russischer Bot, der Spam-Nachrichten verschickt.
Das bei dir nur Fragezeichen angezeigt werden liegt daran, dass du den russischen Schriftsatz nicht installiert hast (Den haben wohl die wenigsten hier )

thx erstmal an worry...

Werd die .exe demnächst mal fixen...

...hm... Das mit dem Russischen Bot wird wohl stimmen, da wie mein Vorredner dir schon sagte, du den Russischen Sprachsatz nicht installiert hast...

So Leute, mir gelang gestern abend noch der große Durchbruch, jetzt passt mal auf:
Als ich gestern abend noch den Rechner von meiner Freundin durchsucht hab, ist mir aufgefallen, dass meine Freundin irgentwelche zusätzlichen Smyleys für ICQ installiert hat, so, jetzt hab ich hal gefragt, wo sie diese Runtergeladen hat, darauf meinte sie: "Von einem Link, den ich im ICQ geschickt bekam..." also, der Link scheint wirklich was sinnvolles zu Bringen.... !!!AUF DEN ERSTEN BLICK!!! Man kann zwar die Smyleys installieren, dann hat man diese auch, aber die .exe namens "smileys_gift.exe" ist auch zusätzlich noch ein Trojaner, die .exe installiert zwar wie gesagt die smyleys, man kann sie dann auch im ICQ benutzen, und man denkt auch, dass die .exe nichts schädliches mit sich bringt, jedoch öffnet die trojaner .exe eine Backdoor und öffnet verschiedene Ports...

Welche genau weis ich leider noch nicht, aber bin auf dem besten wege es rauszufinden

Also, nochmal kurtz für euch zusammengefasst:
- Name der .exe : "smileys_gift.exe"
- Nicht öffnen, geschweigeden herunterladen !!! Da es sich um einen Trojaner handelt...
- Programm öffnet Backdoors
- Und verschiedene Ports

Also, wenn ich was neues rausgefunden hab, sag ich euch bescheid...

mfg Euer CKYFreack

*Update*

Ich meld mich wieder mal zu wort, leider hab ich imemrnoch nicht die Auswirkungen vom Virus vollständig rausgefunden, dafür hab ich nen Neuen Spam-Bot aus Russland entlarvt, hier die ICQ Nummer, und der text, den der Bot spammt:

369440261 ‎(00:47):
Êàê áû òû ýòî íè íàçâàë, ÷òî áû òû ñåáå íè ïðèäóìàë, ìû óäîâëåòâîðèì ëþáîå òâîå ñåêñóàëüíîå æåëàíèå! À âñå ïîòîìó ÷òî íà ñâîåì ñàéòå ìû ñîáðàëè ïîðíî ôèëüìû îòîâñþäó. Ó íàñ åñòü ìàëü÷èêè è äåâî÷êè, òðàíññåêñóàëû è òðàíñâåñòèòû, òå, êîòîðûå ëþáÿò â êèñêó ,è òå, êîòîðûå ëþáÿò â çàä. Äîñòàåòñÿ âñåì! Çàãëÿíè è óâèäèøü! kasnis(òî÷êà)ru 81648

so, da ich kein Russisch kann, versteh ich leider nich, was das heist ;D Falls hier ein Russe ist, kann ers ja mal Übersetzen...

Das ganze bekam grade eben n Kollege von mir zugesendet... und das ca. 10 mal am Tag....

Also, setzt die Nummer einfach sofort auf Igno-Liste, dann habt ihr keine Schwierigkeiten...

lglg

DAS ist kein Russisch. 100% nicht

so, weiteres Update

Muss mich entschuldigen, ist wirklich kein Russisch, das ganze komtm aber von einem Russischen Spam-Bot, da bin ich mit 100 Prozent sicher

Also, dass ganze soll eine Art Werbung sein, jedoch kann diese im ICQ zumindest bei uns deutschen nicht angezeigt werden, da uns der nötige Sprachsatz fehlt

Soweit bis jetzt dazu =)

lglg

Êàê áû òû ýòî íè íàçâàë, ÷òî áû òû ñåáå íè ïðèäóìàë, ìû óäîâëåòâîðèì ëþáîå òâîå ñåêñóàëüíîå æåëàíèå! À âñå ïîòîìó ÷òî íà ñâîåì ñàéòå ìû ñîáðàëè ïîðíî ôèëüìû îòîâñþäó. Ó íàñ åñòü ìàëü÷èêè è äåâî÷êè, òðàíññåêñóàëû è òðàíñâåñòèòû, òå, êîòîðûå ëþáÿò â êèñêó ,è òå, êîòîðûå ëþáÿò â çàä. Äîñòàåòñÿ âñåì! Çàãëÿíè è óâèäèøü! kasnis(òî÷êà)ru 81648

<--- Dies "soll" eine Internet Seite sein !!
Ich wollte es mal mit Babelfish (ein übersetzer) von Russich (ist es aber nicht) auf English übersetzen lassen.

Da kam ungefähr diese Meldung : "Bitte tragen sie eine vollständige "http://" Seite ein."
Solch eine Gift.exe hatte ich auch mal von einen ehemaligen Freund geschickt bekommen,habe mir auch nichts bei gedacht geöffnet und weiteres passiert nichts.
Dachte ich !! Dann wurde meine Ganzen gepseicherten Passwörter (ICQ,MSN,Steam usw...) an ihn gesendet.
-Also aufpassen.

MfG.

okai, also wie ich dachte...

Die "Zeichen" sollen wohl eine Art Werbe-banner sein...

Hab nochmal bisschen nachgeforscht, hab aber bis jetzt noch nix neues Gefunden...

Melde mich wieder wenns neues gibt...

Sowas habe ich oft. Meistens sind es russische Sachen, meistens Links zu so Por** Seiten... Nervt ganz schön.

Letztens ist mir das auch passiert, als ich grade mitten beim Schreiben war, dass ich ausgeloggt wurde. Ich habe dann erstmal mein Passwort geändert. Danach konnte ich wieder Online und nichts hat sich verändert. Ich habe mein Passwort geändert, weil dort stand "Jemand hat sich auf einem anderen PC mit ihrem Account angemeldet.". Und niemand weiß (logischerweise) mein Passwort, außer ich. Ziemlich doof sowas. Manche Menschen haben echt keine Hobbys...

Also, dass was du da beschreibst, hört sich seeeeeeeeeeeehr nach dem alten ICQ Virus an, da stand doch dann auf Englisch "You account is using by another location" oder ?! weil so wars damals... mach mal einen Komplettscan, wenn der nichts ergibt, mach mal ne Logfile und poste sie hier in dem Therd... evtl find ich ja was verdächtiges... soweit erstmal hierzu, wenn du fragen hast, kannst dich gerne melden....

So, jetzt ein Weiteres Update:
Hab euch ja versprochen, dass ich euch sagen will, welche Dateien wohl zu dem Virus gehören, dachdem man die .exe installiert hat...

Kann es zwar nochnicht 100% genau sagen, aber soviel ich bis jetzt weis, gehören zu der gift.exe folgende Dateien:
-vb5dmspo.dll
-mcd3mscm.dll
-slbipsch.exe
-und eben die gift.exe

Bei diesen Dateien schlagen die Virenscanner alarm, und die Verhaltensweisen der Dateien ist auch recht komisch, alle der oben genannten Dateien, sind im system32 drin...

Als ich mit meine Freundin nochmal geredet hab, sagte sie mir, dass sie den Link am 23.12.08 angeklickt hat, ca gegen 15 Uhr rum.... Das ist ja weiter nicht intressant, jedoch hab ich die Dateien mal genau angeguggt, und beide wurden am 23.12. um 15:03 genau erstellt...

Also kann das ja kein Zufall sein, da der Virenscaner auf die Dateien anschlägt, und auch das Erstelldatum der Dateien sehr zu dem oben genannten passt...

Soweit jetzt auch erstmal wieder hierzu ^^

wenns neues gibt, geb ich euch bescheid =)

lglg

Billy Talent

Sowas habe ich oft. Meistens sind es russische Sachen, meistens Links zu so Por** Seiten... Nervt ganz schön.

Letztens ist mir das auch passiert, als ich grade mitten beim Schreiben war, dass ich ausgeloggt wurde. Ich habe dann erstmal mein Passwort geändert. Danach konnte ich wieder Online und nichts hat sich verändert. Ich habe mein Passwort geändert, weil dort stand "Jemand hat sich auf einem anderen PC mit ihrem Account angemeldet.". Und niemand weiß (logischerweise) mein Passwort, außer ich. Ziemlich doof sowas. Manche Menschen haben echt keine Hobbys...

Das gleiche ist mir vorhin auch passiert. Bei mir wars auf Deutsch. Könnte das auch einfach ein bug sein? Ich habe auf vielen Seiten das gleiche Passwort wie im ICQ. Sollte ich es da jetzt auch ändern oder besteht da keine Gefahr?

Hey leute, wolte mal meinen senf dazugeben ... also bei mir is das auch schon 2 oder 3 mal vorgekommen das mein icq von jemand anderes einglogt wurde... is aber schon lange nicht mehr gewessen.. hatte der zeit auch 2 pc´s am netzwerk... zu den russischen typen: also meine Freundin bekommt dauert plaplapla hat dich hinzugefügt... alles aus tschechien... sie schaut immer ob der type aus tsch. is im profil und löscht und ignoriert ihn gleich... könnte das ein Virus sein?? kann mir aber nicht vorstellen das sie irgendwelche links aufgerufen haben soll... kann mir jemand gewissheit geben ob das ein virus is oder nur spam? Ich auf meinen rechner mach erst mal einen virusscan ...

Hi Cyber,

ein Virusscan ist immer gut, und wenn Du ganz sicher gehen möchtest, mache auch noch einen Scan mit HijackThis, da kann man sehen, ob Dein Internetverkehr z.B. über die Ukraine, (was derzeit oft vorkommt) geleitet wird, oder ob ein anderer Trojaner sich bei Dir breit gemacht hat, den das normale Virenprogramm nicht erkennt. Das solltest Du auch Deiner Freundin empfehlen.

Wenn Du mit der Auswertung in de Box nicht klarkommst, poste einfach das Logfile von HijackThis hier, wir schauen dann nach. Die Anleitung zu HijackThis findest Du hier .