Was ist URLZONE

Ist ein Echtzeittrojaner der über Mailverkehr in ZIP Dateien Office infiziert. Setzt sich in die Registry, dort mal nach URLZONE suchen und in Autostartdateien.
Genauer gesagt ist es ein VBA Script, welches über die Ausführung mittels Office das System infiziert.

Avira erkennt die Bestandteile als TR/Starter.BC und TR/Spy.Agent.cbg

Grüße

Ich weiß halt auch nicht so genau was dieser URLZONE genau macht. Wahrscheinlich sensieble Daten ausspähen. Aber produziert der auch Schadensfälle?

In dem ZIP ist ein *.doc Dokument mit VB Code. Meist ist die doc als Rechnung bezeichnet. Der VB Code legt die Datei whlp32.exe an und startet sie. Und dann ist es passiert.

Steht die Sicherheitsstufe in Office wenigstens auf Mittel wird der Benutzer vor Ausführung des Makros gefragt.
Steht sie auf hoch, passiert nichts, weil nicht vertrauenswürdig.
Steht sie auf niedrig, merkt der Nutzer garnichts davon.

Es handelt sich um einen Echtzeittrojaner. Heißt, wenn die Bedingungen günstig sind werden während des Datenverkehrs mit dem Bankserver die Überweisungsdaten ausgetauscht und dem Nutzer gefälschte Bankseiten zurückgemeldet.

Grüße

Ja, der ist definitiv sehr aktiv. Stelle ich auch fest.
Man muss aber auch erwähnen, dass ein Nutzer gleich an zwei Stellen unverantwortlich fahrlässig sein muss, um sich das Teil überhaupt einzufangen.

Grüße

Ja, die Bedingungen kann man eingrenzen aber ich möchte hier keinen öffentlichen Vortrag halten. Nachher finden sich hier noch Nachahmer ein und freuen sich über meine Abhandlung.

Im übrigen sind die Bedingungen wirklich sehr zahlreich. Hat damit zu tun, ob ein Geldboten-Konto verfügbar ist, ob der Überweisungsbetrag paßt, ob der Kontostand paßt, ob die Bank paßt usw.

Auf jeden Fall ist damit nicht zu spaßen.

Grüße

Das hilft auf jeden Fall schonmal diesen URLZONE besser zu verstehen.
Eine ausführliche Abhandlung ist sicher nicht nötig.

Dass das Sicherheitsbewusstsein ständig abnimmt kann ich nur bestätigen. Die TAN-Liste liegt in der Schublade oder wird gar gescannt im PC abgelegt. PIN ab und zu ändern? Fehlanzeige... und sogar auf Nachfrage diverser Trojaner mehrere TANs in eine Liste eintragen....

grüße

Hallo,
ich find es schade das hier über den URLZone Trojaner philosophiert wird und sowenig greifbares dabei rum kommt.
Ihr werdet sicherlich Herrn Google befragt haben und seid zu dem selben schlechten Ergebnis gekommen wie ich.
Ich habe mit mehreren Banken gesprochen und wurde mehr oder weniger mit Allgemeinheiten abgespeist.
Es ist doch egal wo er herkommt und wir wissen angeblich was er machen soll, aber wie stell ich z.B. fest ob er überhaupt auf dem System ist.
Kein Antivirenprogramm erkennt ihn und die üblichen Spyware-Programme finden auch nix.
Den Hinweis von Herrn Döring, AVIRA hätte ihn unter anderem Namen usw. kann ich auch nicht nachvollziehen, da bei den Suchergebnissen ein Beitrag im AVIRA Forum dabei ist in dem der AVIRA Mitarbeiter um mehr Feedback bittet.
Ich selbst habe bei ESET nachgefragt und dort hat man auch nichts von diesem Trojaner gehört.
Und falls er so bekannt ist wie hier der Eindruck vermittelt wird, warum gibt es dann sowenig Infos? Was soll ev. unter der Decke gehalten werden???
Warum möchte ich mehr erfahren?
Ich arbeite in einem kleinen Computerladen in einer kleinen Stadt und hab innerhalb einer Woche zwei Fälle bei Kunden. Aufgrund dieser Häufigkeit gehe ich eigentlich von einer hohen Verbreitung aus finde aber so gut wie keine Informationen über diesen Schädling, was natürlich meine Neugier weckt.
Vielen Dank im voraus für eure Hilfe.
X

Ich möchte hier auch nicht den Eindruck vermitteln ev. irgendetwas nachbauen zu wollen.
Dafür reichen meine Fähigkeiten sicher auch nicht aus.
Aber der Mitarbeiter von ESET meinte z.B. ob das Rechenzentrum nicht ev. mehr Informationen zum Befall preisgeben könnte. Befallene Dateien oder den Namen der neuen Dateien oder den Port über den zugegriffen wird.
Ich möchte im speziellen ja auch nur eine sichere Lösung zur Bestätigung des Befalls. Format C: und neu aufsetzen sind mir klar und hier wohl unausweichlich. Aber was mach ich in nem kleinen Netzwerk? Alle Rechner neu aufsetzen?
Irgendein Hinweis wonach ich suchen kann oder muß?
Registry und Autostart wie angegeben durchsucht und nichts gefunden.
Ich weiß, dadurch hab ich Arbeit und verdiene Geld. Aber meine Neugier läßt es nicht zu, diesen "finsteren Gesellen" sein Werk ungestraft verrichten zu lassen.
Bin für jeden Tip oder Hinweis dankbar.
X

Das war eine Steilvorlage und die wurde von Dir in der 90+4 Minute gnadenlos reingemacht

Aber BTT - ich gebe persönlich auch nie andere Empfehlungen als "Recovery CD raussuchen und drüberlaufen lassen", bzw. neu aufsetzen. Ich will nicht nachher als derjenige dastehen, der die guten Tipps gegeben hat. Sicherlich weiss ich wie Du auch mehr, als ich hier oder sonst wo preisgeben werde; aber wenn es um den Kunden-PC geht gibt es nur diese eine Lösung.....

P.S. Das Verhältnis zu anderen Trojaner ist derzeit aber auch extrem hoch. Ich würde sagen, auf einen "wsnpoem" kommen drei bis vier TR/Runner.Bg

Der Verdacht kenne ich auch, finde ich ebenfalls interessant.
Nur hat es komischerweise noch keinen OSX/Linux/BSD/AmigaOS/... Nutzer getroffen. Das wäre "der" Beweis für die Theorie, nur gibt es den aber bisher nicht.