Die Melde- und Analysestelle Informationssicherung MELANI wurde in den letzten Tagen mehrmals darauf Aufmerksam gemacht, dass eine Schadsoftware Computer sperrt. Dabei erscheint ein Fenster mit einer Nachricht, welche scheinbar vom Eidgenössischen Justiz- und Polizeidepartement stammt. In dieser Nachricht wird der Computerbenutzer aufgefordert 150 Franken Busse zu bezahlen, da sich auf seinem PC scheinbar Kinderpornografisches- und anderes illegales Material befinde.

Bereits im März und April 2011 war eine Schadsoftware im Umlauf, welche auf infizierten Computern eine Meldung, scheinbar vom Bundeskriminalamt Deutschland, anzeigte. Diese verlangte die Zahlung einer Busse von 100 Euro, da auf dem infizierten Computer scheinbar illegale Daten gefunden wurden. Bei nicht Bezahlung werde der Computer gesperrt und die Harddisk formatiert. Die Warnung des LKA Lübeck ist hier zu finden:

Hier Die Liste welche Spam Nachrichten im Umlaufe sind die durch Dislike Button verursacht wurden…

Der Virus wurde mit Trojan-Ransom.Win32.PornoBlocker.ala infiziert, und auf vielen Servern/Webseiten verteilt.

http://www.partytime-dj.com/ralob/#945 – (http://neon21.it/69r3m3m1/setup382539.exe)
http://www.beautifulrings.co.za/6vkllfdes/#3367 – (http://www.patrickcadona.com/7jak47/setup3121.exe)

Die Liste wird töglich falls möglich Aktualisiert.

Hab ihn Testweise Heruntergeladen und geöffnet um Ihn zu Prüfen was er macht.

1 Tag Passierte nichts, erst am Abend wurde er aktiv und hat mich angefangen zu Provozieren, in dem er mir die Administratoren Rechte entzogen hat und alle Programme Deaktiviert. Aber zum Glück hat er meinen Viren Scanner nicht Deaktiviert.

Gestern Abend war ich am Travian.de am Spielen, danach wurde mein FireFox Browser langsam, zuerst dachte ich es liegt an meinem Laptop oder an dem Internet Anschluss. Hab den Laptop danach Neugestartet und wieder war der gleiche Fall. Gut, habe meinen Laptop ausgeschaltet bis heute Mittag. Kurz bevor ich Facebook Öffnen wollte, wurde der Browser wieder Lahm, und ich dachte was soll den dies wieder werden. Nicht mal 1 Minute gedauert schon hat mein Viren Scanner Kaspersky Internet Security 2010 Alarm geschlagen, mir wurde Administratoren Rechte entzogen, alle Programme Deaktiviert etc, darunter Stand eben der Trojaner der über my.faceebook.us Heruntergeladen wurde.

Der Trojaner nennt sich Backdoor.Win32.SdBot.qzq der wird nicht gefunden, denn der versteckt sich schön in Eurem System.

Ich empfehle euch mal den Kaspersky Internet Security zu Installieren und Euren PC/Laptop gründlich zu durchsuchen lassen.

Download ->

Also Warnt eure Verwandte, Freunde, und andere Leute die Ihr kennt vor dem Trojaner!

Diese Nachricht habe ich heute erhalten:

Hey marko ,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.

Auch eine Datei namens “Facebook_Support_57034.zip” wurde mitgeschickt, leider konnte ich dies nicht Öffnen da Kaspersky Internet Security dies gelöscht hat.

Absender der Mail: security@facebook.com
Antworten an: thoubd18@commerciallocations.com

Wenn Ihr so eine Mail bekommt einfach sofort Löschen und Ignorieren, wenn es Facebook wäre würdens anders schreiben oder über Webseite euch Informieren, aber ohne Dateianhang!

Schon wieder lauern neue Links im MSN oder ICQ herum. Hier der Aktuelle.

Nick sagt: ola! This photo is yours? http://remuser.re.ohost.de/viewimage.php?=XXX@hotmail.com

Dahinter ist ei nVirus verstekt:
Das Objekt ist mit Trojan.Win32.Refroso.oih infiziert

garnicht auf diese Adresse klicken!

ohost.de wird gleich Informiert.

Ein Facebook-Virus (Koobface) ist unterwegs! Falls du eine Nachricht von einem Freund bekommst, in der behauptet wird, du seist in einem Video + Link dazu, dann folge AUF KEINEN FALL dem Link!
Dieser würde dich zu einer gefälschten YouTube-Seite weiterleiten, die dich auffordert, ein Update für den Flash-Player runterzuladen. Dahinter versteckt sich jedoch ein Computerwurm, der sich auf deinem PC automatisch installiert!

Beispiel:
————————————————————-
Betreff: “i thiink i ffound a viideo withh yyou.”

Wow.

http://ersek(…)
————————————————————-
Der Text und der Link variieren, z.B. “You look so funny in this video!”

Der Wurmvirus nimmt sodann Kontakt mit einem Server auf, sendet Daten und wartet auf neue Anweisungen. Unter anderem bewirkt er, dass deine Suchanfragen von Google, Yahoo, etc. auf dubiose Webseiten umgeleitet werden. Dadurch kann sich dein PC weitere, schädliche Programme einfangen, z.B. Trojaner, die sensible Daten wie Passwörter, Kreditkartennummern, Kontonummern, etc. von dir sammeln, so dass sich andere mit deinem Geld austoben können.
Denkbar ist auch, dass der Wurm solche Daten bereits bei der Infektion zum Server sendet! Weil der Wurm ein Zugriff der Virenentwickler auf deinen PC erlaubt, können diese weitere Programme raufladen und dein PC z.B. Spam- und Phishingmails versenden lassen.

Zusätzlich missbraucht er dein Facebook-Konto, um unbemerkt selbige Nachrichten an all deinen Freunde zu versenden, um sie ebenfalls zu infizieren. Durch all diese Aktionen verlangsamt sich dein PC bzw. die Nutzung des Internets.

Mittlerweile existieren dutzende Variationen des Wurms, die im übrigen auch auf MySpace, Hi5, etc. anzutreffen sind. Einige benutzen Pinnwandeinträge, Profiländerungen und Kommentare statt Nachrichten für ihre Verbreitung. Andere behaupten, dass ein Freund von dir dein Profil nicht anschauen kann und du ein Programm runterladen sollst, um das Problem zu beheben.

Falls du dich infiziert hast, wird auf http://www.facebook.com/security empfohlen:
1) Passwort vom Facebook-Konto ändern.
2) Ein Anti-Virus-Programm den PC scannen und den Wurm löschen lassen. (vorher schauen, ob vom Anti-Virus das neuste Update drauf ist)

In einigen Fällen bleibt der Wurm hartnäckig. Dieses Tool von Microsoft kann jedoch für die Entfernung hilfreich sein:

http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx

(Vielen Dank an Ronald für den Link)

Und mache keine Online-Geschäfte mehr über den infizierten PC, bis er wieder vollständig sauber ist.

Unglaublich viele Leute wissen immer noch nichts davon! Lade doch deine Freunde in die Gruppe ein! Sei etwas misstrauischer zu Mails und Nachrichten von Freunden, die nicht zu ihrem Stil passen (z.B. englischer Text) und auf Webseiten verlinken oder komische Anhänge besitzen.

Der Alte bekannte ist schon wieder unterwegs im MSN um unerfarhrene User vollzu Spamen!

Nick sagt: foto http://myspacess.net/image.php?=MSNADRESSE

Dieses mal mit der verblüffender MySpace Adresse! Aber dies ist nicht von MySpace.com sondern MySpaceSS.net!!

Diesmal heisst die JPG Datei: DSC000020090201.JPG
Und darin enthaltener Virus: DSC000.exe

Um Ihn entfernen zu können, öffnet den Task-Manager, und sucht nach DSC000.exe und schliesst Ihn, und Startet den Windoof Live Messenger neu.

Kaspersky Internect Security meldet:

02.02.2009 – 20:02:04

http://fwt.txdnl.com/6-40/a/l/alfakurc/wifi.jpg//PE_Patch.UPX//UPX

DSC000.EXE
Verboten: Trojan-Downloader.Win32.Agent.bfjx

Um diesen Spamer zu Löschen, öffnet den Taskmanager und sucht nach dieser Datei DSC000.EXE und schliesst dies!

Wenn Ihr dies gemacht habt, checkt mit dem Virenscanner nach dieser Datei und Löscht Ihn.

Habe soeben mal den Virus angeschaut, und die kleinen eigenschaften.

Habe den Winrar geöffnet, und den Virus hineingezogen und siehe da, dieses Programm “.JPG” wurde zusätzlich hingeschrieben. Original heisst die Datei: “DSC20090113.exe”. Beim Aktivieren der Datei wird eine zusätzliche Datei die drinnen versteckt ist als “blabla.exe” Entpackt und Installiert.

Benutzt die Suche des Computers und sucht nach der datei “blabla.exe” und versucht die Datei zu Löschen, evtl liegts im Task-Manager oder im Ordner “C:\Windows\”.

Leider kann ich den Virus nicht Testen auf dem Vista Laptop, muss es Heute Abend auf meinem XP PC Probieren. Danach kann ich weitere informationen euch zusenden.

Spammer versenden E-Mails, die von 20 Minuten Online stammen sollen. Sie enthalten einen Link zu einem Trojaner. Doch dem Schädling kann man leicht den Weg auf den Rechner versperren: einfach löschen!

Wie der Blog abuse.ch berichtet, ist seit kurzem eine Spam-Mail im Web unterwegs, die vorgibt, von 20 Minuten Online zu stammen. Enthalten ist ein Link auf eine Webseite. Dort wird man aufgefordert, einen Player herunterzuladen. Tut man dies, installiert man den Trojaner Gozi, der den Rechner des Nutzers ausspioniert und Daten an Cyberkriminelle schickt.

Die E-Mail sieht laut der Melde- und Analysestelle Informationssicherung (MELANI) so aus:

Von: alarm@10min.ch
Betreff: ZURICH ALARM:2007 wurden erst 203 Einsteigerinnen aus den osteuropaischen Staaten registriert.

ZÜRICH

50 Prozent mehr Ost-Prostituierte
Die Zahl der Prostituierten aus Osteuropa wächst rasant: Von dort stammt fast die Hälfte der Frauen, die 2008 von der Stapo Zürich neu registriert worden sind.

Bis ins Einzelne>>

Mit den herzlichen Grüssen, Roseann Mansfield.

Laut Abuse.ch können auch info@20min.ch und support@20min.ch als Absender angegeben sein. Wer die Nachricht einfach löscht, ist gegen einen Angriff des Trojaner geschützt.

20 Minuten Online kann den Versand der E-Mails nicht verhindern, weil wir keinen Zugriff auf den Server des Spammers haben. Abklärungen über den Urheber des Trojaners sind im Gang. Wer die Original-Webseite von 20 Minuten Online besucht, geht keinerlei Risiko ein, sich den Trojaner auf den Rechner zu laden.

Quelle: 20min.ch

Nick sagt: foto ha ha http://www.hi5photos.org/images.php?=MSNADRESSE

UPDATE: 26.01.2009 – 21:45

Nick sagt: foto ha ha http://www.hi5photo.net/images.php?=MSNADRESSE

Hier ein Screenshot

Aus der Domain .org wurde jetzt .net !!

Achtet darauf das Ihr nicht auf diese Seite geht, weil dahinter ist ein Virus versteckt. Wer die Seite aufmacht und eine Datei Herunterlädt, wird wieder das MSN Passwort geklaut und missbraucht.

Hier die Meldung die ich bekommen habe.

Hinter dem Virus steckt der: (wieder mal Anonym)

Registrant Name:lesley Lownds
Registrant Organization:Private Registration US
Registrant Street1:P O Box 99800
Registrant Street2:
Registrant Street3:
Registrant City:EmeryVille
Registrant State/Province:CA
Registrant Postal Code:94662
Registrant Country:US
Registrant Phone:+1.5105952002
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:contact@myprivateregistration.com