Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> Neue Rechnung.pdf.exe Trojaner, "Absender" Opodo.de, t-com.net
raman
Beitrag 10.08.2005, 20:24
Beitrag #1



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59
Gerade ist hier eine Mail aufgeschlagen mit einer Exe als Anhang. Diesmal wird dem User vorgegaukelt, das Reisetickets an ihn Versand wurden. Vorherige Mails dieser Art waren als Telekomrechnung getarnt. Bei dieser wird Opodo.de als Aufmacher genutzt.

Hier der Mailtext:
"Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 759.99 Euro (im Anhang beigelegt)

Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.

Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.

Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.

Wir wünschen Ihnen eine gute Reise!


Ihr Opodo-Team"

Zur Zeit wird der Anhang von diesen AV-Programmen erkannt:

BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found Trojan.Downloader.Small-674
F-Prot Antivirus Found unknown virus (probable variant)
NOD32 Found probably unknown NewHeur_PE (probable variant)

Der Beitrag wurde von raman bearbeitet: 10.08.2005, 21:16


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
Yopie
Beitrag 01.11.2005, 12:13
Beitrag #2



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20
Es scheint wieder eine neue Version zu geben.

Das Jotti-Ergebnis (wurde, wenn überhaupt, dann nur heuristisch erkannt!):
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found BehavesLike:Win32.ExplorerHijack (probable variant)
ClamAV
Found nothing
Dr.Web
Found DLOADER.Trojan (probable variant)
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Trojan-PSW.LdPinch.5

Gibts eine Sammeladresse, an die man die Datei schicken kann, damit die Signatur eingepflegt wird?

Der Beitrag wurde von Yopie bearbeitet: 01.11.2005, 12:14


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
Domino
Beitrag 01.11.2005, 12:15
Beitrag #3



Schauspiel-Gott
aka Kilauea
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 7.535
Mitglied seit: 20.04.2003
Wohnort: Göttingen
Mitglieds-Nr.: 46
QUOTE(Yopie @ 01.11.2005, 12:12)
Gibts eine Sammeladresse, an die man die Datei schicken kann, damit die Signatur eingepflegt wird?
[right][snapback]116705[/snapback][/right]

Schick die mal an virus ät rokop-security.de
jotti, leitet die aber imho auch weiter.



Domino




--------------------
Keep the spirit alive.....
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- raman   Neue Rechnung.pdf.exe Trojaner   10.08.2005, 20:24
- - raman   Anscheinend wird jetzt versucht den Trojaner mit m...   10.08.2005, 20:27
- - Smoky   Kav erkennt nun auch . als Trojan-Downloader.Win3...   10.08.2005, 23:05
- - kpi   Als Rechnungsversion der Telekom hab ich den Troja...   11.08.2005, 06:57
- - Remover   PC Welt berichtet mittlerweile auch darueber recht...   11.08.2005, 09:08
- - Yopie   Hier jetzt auch aufgeschlagen, verschickt wurde er...   12.08.2005, 02:36
- - Yopie   Es scheint wieder eine neue Version zu geben. Das...   01.11.2005, 12:13
|- - Domino   QUOTE(Yopie @ 01.11.2005, 12:12)Gibts eine Sa...   01.11.2005, 12:15
- - Yopie   Jau, stimmt! Schick ich aber noch weiter. Die...   01.11.2005, 12:17
- - raman   Das ist moeglich, diese Trojaner wurden oeffters u...   01.11.2005, 12:24
- - raman   Wie lautete denn der Orginale Dateiname, bzw die k...   01.11.2005, 12:35
- - Yopie   Der Dateiname ist Original gewesen. Hier der Quel...   01.11.2005, 12:42
- - Yopie   Siehe auch <o0b50y6d782f.dlg@schrottadresse.de...   01.11.2005, 15:32
- - raman   Komischerweise sind alle(!) Dateien, die es he...   01.11.2005, 16:03
- - Yopie   Ich kann nicht glauben, dass die Serverbetreiber s...   01.11.2005, 16:18
- - raman   Auf anhieb wuerde ich sagen, das sind alle russisc...   01.11.2005, 16:39
- - Yopie   Ich hatte vermutet, es wären Server bei Spam-Provi...   01.11.2005, 16:54
- - Yopie   Heute nacht gabs wohl wieder einen Wurm-Run mit Te...   05.11.2005, 10:06
- - Joerg   Ist gerade angekommen, ich leite es an die entspre...   05.11.2005, 10:13
- - raman   Nur als kleine Zwischenbemerkung, auch diese Vaian...   05.11.2005, 13:32
- - rock   ich schätz da kennen einige schon wieder was nicht...   05.11.2005, 19:35
|- - maverik   QUOTE(rock @ 05.11.2005, 19:34)Das ist das Er...   05.11.2005, 23:10
- - Stefan   Es ist doch immer wieder das selbe. Mal erkennt de...   05.11.2005, 19:45
- - bond7   @rock hab ich dir nicht schonmal gesagt das die o...   05.11.2005, 19:45
- - raman   Das Symantec-Produkt, welches VT insetzt, ist afai...   05.11.2005, 19:54
- - rock   ja nur ist nicht nur smyntec sondern auch mc afee,...   05.11.2005, 19:56
- - raman   Bei einigen steht dabei, was genutzt wird. Z.B. ne...   05.11.2005, 20:06
- - rock   danke für die info.   05.11.2005, 20:38
- - raman   Bei Antivir ist es wohl korrekt, da die Verkaufsve...   05.11.2005, 21:46
- - raman   Das sind kleine Updates, die Avast von Zeit zu Zei...   05.11.2005, 23:28
- - rock   morgen, ich find das aber recht eigenartig...das ...   06.11.2005, 09:50
- - raman   Das koeennen leider nur die jungs von VT beantwort...   06.11.2005, 10:03
- - rock   ja schade aber trotzdem...es zählt das ergebnis......   06.11.2005, 10:11
- - sengel   ja auch an sengel@XXX.de Gorgo: Mailaddy ungültig...   20.12.2005, 17:47

« Vorhergehendes Thema · News · Folgendes Thema »
 

Closed TopicStart new topic
3 Besucher lesen dieses Thema (Gäste: 3 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 10.05.2025, 02:40
Powered By IP.Board © 2025  IPS, Inc.
Licensed to: Rokop Security
Impressum