Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- Backdoor auf funpic.de?!? (https://www.dedies-board.de/wbb2/thread.php?threadid=846)

Geschrieben von DerBilk am 16.09.2005 um 11:36:

  Backdoor auf funpic.de?!?

Hallo,

einer unserer Mitarbeiter erhielt gestern eine SMS von einem Ihm unbekannten Absender mit folgendem Inhalt:

Zitat:
Hi [Name entfernt], wie gehts?wie gesagt, hier die urlaubsbilder: h**p://[editiert].funnpic.de/adobepictureviewer.exe Der Viewer öffnet alle Bilder Ich meld mich gruß Petzauge


Der sog. Viewer wird bei Jotti z. Z. folgendermaßen erkannt:
Zitat:
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32: Dumador-T gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Dumador.ed gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Embedded.Backdoor.Win32.Dumador.dg gefunden (mögliche Variante)


Interessanter Weise scheint die SMS personalisiert. Bei dem in der SMS angegebenen Vornamen handelt es sich um den tatsächlichen Namen des Empfängers...

Das Sample habe ich bereits an div. AV-Hersteller geschickt und an funpic.de ist ebenfalls eine Mail raus.
Da es sich um ein privates Handy des Kollegen handelt, wird dieser ggf. Anzeige bei der Polzei stellen...


Geschrieben von chaosman am 16.09.2005 um 14:43:

 

h**p://[editiert].funnpic.de/adobepictureviewer.exe

funpic.de

Ist ja fast identisch...

hier die Beschreibung
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.nibu.n.html
LG
chaosman


Geschrieben von DerBilk am 16.09.2005 um 16:04:

 

Der SMS-Text hieß richtigerweise ...funpic.de..., also mit einem n, sorry!
Aber diesen Viewer erkennt Symantec im Moment noch nicht...
Andere AV-Hersteller haben ihn in der Erkennung nun mit drin.

Zitat:

AntiVir Backdoor-Server/Dumador.ED gefunden
Avast Win32: Dumador-T gefunden
AVG Antivirus BackDoor.Dumador.CD gefunden
Dr.Web BackDoor.Dumaru.20 gefunden
KAV Backdoor.Win32.Dumador.ed gefunden
VBA32 Embedded.Backdoor.Win32.Dumador.dg gefunden (mögliche Variante)


Geschrieben von DerBilk am 16.09.2005 um 17:02:

Update

Die besagte Datei ist mittlerweile vom Funpic-Server verschwunden. Zumindest bei o.g. Adresse kommt nur noch eine 404-Seite... yes
Vllt. hat meine Mail an abuse ja doch Eindruck gemacht... Petzauge