Verschlüßelungs Trojaner, oder nicht ?!, In Mahnung.zip Einstellungen

[Catweazle]

Ist das nun eine Verschlüßelungs Trojaner, oder nicht ?

Habe gestern volgende E-mail bekommen:

Von: aguilva@prodigy.net.mx <aguilva@prodigy.net.mx>
An:

Betreff: Ihre Aktuelle Rechnung 575692238
Datum: 27.05.2012 13:45


Anhang: Rechnung Mai.zip (application/zip)





eBay hat diese Nachricht an Kunden (Lang4617) gemailt.
Ihr Ebayname in dieser Nachricht ist eine Bestätigung darauf, dass die Mitteilung tatsächlich von eBay stammt.
Mehr zum Thema: http://pages.ebay.de/help/confidence/name-userid-emails.html
---------------------------------------------------------------------------------------------------------------------

***Dies ist eine automatisch generierte E-Mail. Bitte antworten Sie nicht darauf.***

Rechnungsnummer: 030790-676597546620413




Ihr Konto ist überfällig. Bitte begleichen Sie Ihre ausstehende Rechnung vollständig, da wir sonst Ihre Möglichkeiten bei eBay einkaufen und verkaufen zu können, einschränken müssen.


Ihre eBay-Rechnung für den Zeitraum vom 17. April 2012 bis zum 15. Mai 2012 ist jetzt in beigefügter Datei zu finden



Fälliger Betrag: €725,45


Zahlung ist jetzt fällig. Bitte beachten Sie, dass bei einer Zahlungsverspätung, Ihnen Mahngebühren angerechnet werden können.
Ihre Kaufeinzelheiten und Storno Mitteilung finden Sie auch im zugefügtem Zip Ordner.

Hinweis: eBay fragt niemals per E-Mail nach vertraulichen oder persönlichen Daten (z.B. Passwort, Kreditkarte, Kontonummer).

Vielen Dank, dass Sie eBay nutzen.

Mit freundlichen Grüßen,
eBay


eBay Europe S.

Ich habe mit ebay nichts am Hut !

http://virusscan.jotti.org/de/scanresult/6...15883e5434c6b3e

https://www.virustotal.com/file/b97e9a0463f...sis/1338228298/

Scheint clean zu sein, im ersten momment. Was meint ihr ?

Catweazle

[simracer]

Ich würde die Mail löschen ohne die Zip Datei zu öffnen, denn es könnte durchaus dahinter bzw in der Zip Datei ein Verschüsselungs Trojaner stecken. Siehe auch hier: http://www.bka.de/nn_205924/sid_A8EBDD8BAD...html?__nnn=true

[Catweazle]

Ich würde die Mail löschen ohne die Zip Datei zu öffnen, denn es könnte durchaus dahinter bzw in der Zip Datei ein Verschüsselungs Trojaner stecken. Siehe auch hier: http://www.bka.de/nn_205924/sid_A8EBDD8BAD...html?__nnn=true

Könnte sein. Aber irgend ein AV Hersteller sollte das teil doch erkenne können, oder ?

Oder was ganz Neues frisches von dieser Sorte...????

Catweazle

[simracer]

Und was wenn das ein neuer Verschlüsselungs Trojaner ist der noch nicht in den Signaturen der Virenschutz Hersteller eingepflegt ist? dann nutzt dir in dem Moment VirusTotal oder Jotti auch nichts.
Was überlegst du denn noch? du hast mit ebay nichts am Hut, kriegst eine Mail mit einer angeblichen Rechnung von einem Absender den du erst recht nicht kennst. Also was machst du(meiner Meinung nach)am besten? Genau: lösch die Mail weg und dann haste Ruhe.

Der Beitrag wurde von simracer bearbeitet: 28.05.2012, 19:32

[Catweazle]

OK, ich werde sie löschen, und alles ist gut.

Catweazle

[simracer]

Endlich bist du vernünftig und einsichtig

[markus17]

Ich vermute mal, dass am zip-Archiv selber überhaupt nix böse ist und du es 500 mal auf die Platte kopieren kannst. Die Mahnung.zip die ich bisher erhalten habe, beinhalteten alle eine exe, die dann z.B. ein FakeAV oder diese BKA Trojaner nachgeladen haben. Manchmal sind auch nur html-Formulare drin. (bei paypal Mails)

[Gast_J4U_*]

Von: aguilva@prodigy.net.mx <aguilva@prodigy.net.mx>
An:

Eine typische ebay-Adresse...

Den restlichen Mist muss man gar nicht erst lesen, löschen und fettich.
Was war denn im Anhang enthalten? Eine Echse, ein gans doll wichtiger KlickMich-Link,....

J4U

[Catweazle]

...stunden später, haben wir das ergebniss, http://virusscan.jotti.org/de/scanresult/8...40cf59056dab4c2

https://www.virustotal.com/file/6b40c3a466a...sis/1338236441/

Also doch Malware, vor stunden war das zeug noch clean.

Die digitale Welt ist wirklich gefährlich.

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 28.05.2012, 21:28

[Catweazle]

Eine typische ebay-Adresse...

Den restlichen Mist muss man gar nicht erst lesen, löschen und fettich.
Was war denn im Anhang enthalten? Eine Echse, ein gans doll wichtiger KlickMich-Link,....

J4U

Es war ne Datei Namens, Rechnung Mai.zip

Catweazle

[Gast_J4U_*]

Es war ne Datei Namens, Rechnung Mai.zip

Hätte ja sein können, dass Du in die .zip reingesehen hast.

[Catweazle]

Hätte ja sein können, dass Du in die .zip reingesehen hast.

Nein, das habe ich natürlich nicht gemacht

Catweazle

[Catweazle]

Zusatz Info´s dazu:

Mai 28: Windows Verschlüsselungstrojaner neue Version
Seit etwa zwei Wochen ist ein besonders perfider Computervirus im Umlauf, der derzeit nur über E-Mails verteilt wird. In den entsprechenden E-Mails wird dem Empfänger mitgeteilt, es werde ein bestimmter Rechnungsbetrag von seinem Konto abgebucht und er möge die angehängte Rechnung überprüfen. Als Absender werden gefälschte E-Mail Adressen namenhafter Versandhäuser, Elektonikhändler und anderer Online-Shows verwendet.
Bei allen E-Mails ist ein zip Anhang (Rechnung.zip, Abmahnung.zip, Buchung.zip, u.ä.) zu finden. Wenn das Opfer diesen Anhang öffnet, so werden alle Dateien auf der Festplatte verschlüsselt, der Rechner gesperrt und eine Aufforderung zur Zahlung von 100 € per Ucash oder Paysafecard angezeigt:

Es gab vor etlichen Wochen schon eine andere Variante des Trojaners, der die verschlüsselten Dateien nach dem Schema "locked-[Alter Dateiname].[Alte Extension].[zufällige Zeichenfolge] umbenannt hat. Dieser Trojaner nutze eine relativ einfache Verschlüsselung (RC4), die relativ schnell geknackt wurde. So gab es bald Entschlüsselungsprogramme von verschiedenen Antivirus-Herstellern (Dr. Web, Avira), sowie von verschiedenen unabhängigen IT-Experten.

Bei der neuen Variante des Virus sieht es hingegen bisher recht schlecht aus: Nach über zwei Wochen ist noch immer nicht klar, wie Betroffene wieder an ihre Dateien kommen. Und das, obwohl davon auszugehen ist, dass die AV-Hersteller, wie auch die IT-Experten diverser Foren (trojaner-board.de, botfrei.de, delphipraxis.net) und viele andere (z.B. Xylitol) an einer Lösung des Problems arbeiten.

...

Quelle: http://blog.save-privacy.de/index.php?/arc...ue-Version.html

Wen es dazu past

Catweazle

Der Beitrag wurde von Catweazle bearbeitet: 28.05.2012, 23:11

[DonQuijano]

...stunden später, haben wir das ergebniss,

Also doch Malware, vor stunden war das zeug noch clean.

Die digitale Welt ist wirklich gefährlich.

Catweazle

Die MD5 Summe von beiden Scanns ist verschieden.

Untersucht am: Mo 28 Mai 2012 13:40:25 (CET)
Dateigröße: 48020 Bytes
Dateityp: Unknown
MD5: 1fb04837e4febc00c9787a1f83eb3dba
SHA1: 4acddccc85a0044b3863a69a069269b08722da65
SHA256: b97e9a0463f8cc675d56884b42627a917c1cfbd303d2d4d9690a127359a2155f
SHA1: 4acddccc85a0044b3863a69a069269b08722da65
MD5: 1fb04837e4febc00c9787a1f83eb3dba
File size: 46.9 KB ( 48020 bytes )
File name: file-4017989_zip
File type: unknown
Detection ratio: 0 / 41
Analysis date: 2012-05-28 11:48:54 UTC ( 17 Stunden, 37 Minuten ago )


Untersucht am: Mo 28 Mai 2012 22:23:38 (CET)
Dateigröße: 41788 Bytes
Dateityp: Zip archive
MD5: 45df1ec86dfdf3f039020296dfbd1e97
SHA1: d547d58d26dc903ab27893810fcd28fdba567987
SHA256: 6b40c3a466a7446e244c914ca36c20f085ce119fe9bfa4b47ca3de0a4dce8c82
SHA1: d547d58d26dc903ab27893810fcd28fdba567987
MD5: 45df1ec86dfdf3f039020296dfbd1e97
File size: 40.8 KB ( 41788 bytes )
File name: Rechnung Mai.zip
File type: ZIP
Detection ratio: 10 / 42
Analysis date: 2012-05-28 15:19:42 UTC ( 14 Stunden, 9 Minuten ago )

[Catweazle]

Oh, da bin ich irgendwie durcheinander gekommen, wo die este Datei her ist weiß ich im moment auch nicht. Ich suche sie gerade auf meinem Rechner. Jetzt prüfe ich das richtige Sample, mit Jotti, weil virustotal rumzickt.

Das ergebnis von Jotti, http://virusscan.jotti.org/de/scanresult/e...8214ad2e46ceca5 das sit jetzt das richtige. Am Samstag war bei beiden glaube ich alles clean, also war es schon wieder eine neue variante, wen es sich dabei um den Verschlüßelungs Trojaner handeln sollte.

PS: Komisch die erste Datei, finde ich garnicht bei mir.

Catweazle