Verschlüßelungs Trojaner, oder nicht ?!, In Mahnung.zip |
Willkommen, Gast ( Anmelden | Registrierung )
Verschlüßelungs Trojaner, oder nicht ?!, In Mahnung.zip |
28.05.2012, 19:16
Beitrag
#1
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Ist das nun eine Verschlüßelungs Trojaner, oder nicht ?
Habe gestern volgende E-mail bekommen: Von: aguilva@prodigy.net.mx <aguilva@prodigy.net.mx> An: Betreff: Ihre Aktuelle Rechnung 575692238 Datum: 27.05.2012 13:45 Anhang: Rechnung Mai.zip (application/zip) eBay hat diese Nachricht an Kunden (Lang4617) gemailt. Ihr Ebayname in dieser Nachricht ist eine Bestätigung darauf, dass die Mitteilung tatsächlich von eBay stammt. Mehr zum Thema: http://pages.ebay.de/help/confidence/name-userid-emails.html --------------------------------------------------------------------------------------------------------------------- ***Dies ist eine automatisch generierte E-Mail. Bitte antworten Sie nicht darauf.*** Rechnungsnummer: 030790-676597546620413 Ihr Konto ist überfällig. Bitte begleichen Sie Ihre ausstehende Rechnung vollständig, da wir sonst Ihre Möglichkeiten bei eBay einkaufen und verkaufen zu können, einschränken müssen. Ihre eBay-Rechnung für den Zeitraum vom 17. April 2012 bis zum 15. Mai 2012 ist jetzt in beigefügter Datei zu finden Fälliger Betrag: €725,45 Zahlung ist jetzt fällig. Bitte beachten Sie, dass bei einer Zahlungsverspätung, Ihnen Mahngebühren angerechnet werden können. Ihre Kaufeinzelheiten und Storno Mitteilung finden Sie auch im zugefügtem Zip Ordner. Hinweis: eBay fragt niemals per E-Mail nach vertraulichen oder persönlichen Daten (z.B. Passwort, Kreditkarte, Kontonummer). Vielen Dank, dass Sie eBay nutzen. Mit freundlichen Grüßen, eBay eBay Europe S. Ich habe mit ebay nichts am Hut ! http://virusscan.jotti.org/de/scanresult/6...15883e5434c6b3e https://www.virustotal.com/file/b97e9a0463f...sis/1338228298/ Scheint clean zu sein, im ersten momment. Was meint ihr ? Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
28.05.2012, 19:22
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.354 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
Ich würde die Mail löschen ohne die Zip Datei zu öffnen, denn es könnte durchaus dahinter bzw in der Zip Datei ein Verschüsselungs Trojaner stecken. Siehe auch hier: http://www.bka.de/nn_205924/sid_A8EBDD8BAD...html?__nnn=true
-------------------- |
|
|
28.05.2012, 19:25
Beitrag
#3
|
|
Threadersteller Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Ich würde die Mail löschen ohne die Zip Datei zu öffnen, denn es könnte durchaus dahinter bzw in der Zip Datei ein Verschüsselungs Trojaner stecken. Siehe auch hier: http://www.bka.de/nn_205924/sid_A8EBDD8BAD...html?__nnn=true Könnte sein. Aber irgend ein AV Hersteller sollte das teil doch erkenne können, oder ? Oder was ganz Neues frisches von dieser Sorte...???? Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
28.05.2012, 19:29
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.354 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
Und was wenn das ein neuer Verschlüsselungs Trojaner ist der noch nicht in den Signaturen der Virenschutz Hersteller eingepflegt ist? dann nutzt dir in dem Moment VirusTotal oder Jotti auch nichts.
Was überlegst du denn noch? du hast mit ebay nichts am Hut, kriegst eine Mail mit einer angeblichen Rechnung von einem Absender den du erst recht nicht kennst. Also was machst du(meiner Meinung nach)am besten? Genau: lösch die Mail weg und dann haste Ruhe. Der Beitrag wurde von simracer bearbeitet: 28.05.2012, 19:32 -------------------- |
|
|
28.05.2012, 19:36
Beitrag
#5
|
|
Threadersteller Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
OK, ich werde sie löschen, und alles ist gut.
Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
28.05.2012, 19:42
Beitrag
#6
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.354 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
Endlich bist du vernünftig und einsichtig
-------------------- |
|
|
28.05.2012, 20:10
Beitrag
#7
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.051 Mitglied seit: 15.10.2006 Mitglieds-Nr.: 5.448 Betriebssystem: Win7 Prof. x64 Virenscanner: GDATA TP 20xx Firewall: GDATA TP 20xx |
Ich vermute mal, dass am zip-Archiv selber überhaupt nix böse ist und du es 500 mal auf die Platte kopieren kannst. Die Mahnung.zip die ich bisher erhalten habe, beinhalteten alle eine exe, die dann z.B. ein FakeAV oder diese BKA Trojaner nachgeladen haben. Manchmal sind auch nur html-Formulare drin. (bei paypal Mails)
|
|
|
Gast_J4U_* |
28.05.2012, 20:26
Beitrag
#8
|
Gäste |
|
|
|
28.05.2012, 21:28
Beitrag
#9
|
|
Threadersteller Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
...stunden später, haben wir das ergebniss, http://virusscan.jotti.org/de/scanresult/8...40cf59056dab4c2
https://www.virustotal.com/file/6b40c3a466a...sis/1338236441/ Also doch Malware, vor stunden war das zeug noch clean. Die digitale Welt ist wirklich gefährlich. Catweazle Der Beitrag wurde von Catweazle bearbeitet: 28.05.2012, 21:28 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
28.05.2012, 21:40
Beitrag
#10
|
|
Threadersteller Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Eine typische ebay-Adresse... Den restlichen Mist muss man gar nicht erst lesen, löschen und fettich. Was war denn im Anhang enthalten? Eine Echse, ein gans doll wichtiger KlickMich-Link,.... J4U Es war ne Datei Namens, Rechnung Mai.zip Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Gast_J4U_* |
28.05.2012, 21:59
Beitrag
#11
|
Gäste |
|
|
|
28.05.2012, 22:01
Beitrag
#12
|
|
Threadersteller Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Hätte ja sein können, dass Du in die .zip reingesehen hast. Nein, das habe ich natürlich nicht gemacht Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
28.05.2012, 23:04
Beitrag
#13
|
|
Threadersteller Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Zusatz Info´s dazu:
Mai 28: Windows Verschlüsselungstrojaner neue Version Seit etwa zwei Wochen ist ein besonders perfider Computervirus im Umlauf, der derzeit nur über E-Mails verteilt wird. In den entsprechenden E-Mails wird dem Empfänger mitgeteilt, es werde ein bestimmter Rechnungsbetrag von seinem Konto abgebucht und er möge die angehängte Rechnung überprüfen. Als Absender werden gefälschte E-Mail Adressen namenhafter Versandhäuser, Elektonikhändler und anderer Online-Shows verwendet. Bei allen E-Mails ist ein zip Anhang (Rechnung.zip, Abmahnung.zip, Buchung.zip, u.ä.) zu finden. Wenn das Opfer diesen Anhang öffnet, so werden alle Dateien auf der Festplatte verschlüsselt, der Rechner gesperrt und eine Aufforderung zur Zahlung von 100 € per Ucash oder Paysafecard angezeigt: Es gab vor etlichen Wochen schon eine andere Variante des Trojaners, der die verschlüsselten Dateien nach dem Schema "locked-[Alter Dateiname].[Alte Extension].[zufällige Zeichenfolge] umbenannt hat. Dieser Trojaner nutze eine relativ einfache Verschlüsselung (RC4), die relativ schnell geknackt wurde. So gab es bald Entschlüsselungsprogramme von verschiedenen Antivirus-Herstellern (Dr. Web, Avira), sowie von verschiedenen unabhängigen IT-Experten. Bei der neuen Variante des Virus sieht es hingegen bisher recht schlecht aus: Nach über zwei Wochen ist noch immer nicht klar, wie Betroffene wieder an ihre Dateien kommen. Und das, obwohl davon auszugehen ist, dass die AV-Hersteller, wie auch die IT-Experten diverser Foren (trojaner-board.de, botfrei.de, delphipraxis.net) und viele andere (z.B. Xylitol) an einer Lösung des Problems arbeiten. ... Quelle: http://blog.save-privacy.de/index.php?/arc...ue-Version.html Wen es dazu past Catweazle Der Beitrag wurde von Catweazle bearbeitet: 28.05.2012, 23:11 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
29.05.2012, 06:38
Beitrag
#14
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 431 Mitglied seit: 19.04.2003 Mitglieds-Nr.: 44 Betriebssystem: Linux raspberrypi 3.6.11+ |
...stunden später, haben wir das ergebniss, Also doch Malware, vor stunden war das zeug noch clean. Die digitale Welt ist wirklich gefährlich. Catweazle Die MD5 Summe von beiden Scanns ist verschieden. Untersucht am: Mo 28 Mai 2012 13:40:25 (CET) Dateigröße: 48020 Bytes Dateityp: Unknown MD5: 1fb04837e4febc00c9787a1f83eb3dba SHA1: 4acddccc85a0044b3863a69a069269b08722da65 SHA256: b97e9a0463f8cc675d56884b42627a917c1cfbd303d2d4d9690a127359a2155f SHA1: 4acddccc85a0044b3863a69a069269b08722da65 MD5: 1fb04837e4febc00c9787a1f83eb3dba File size: 46.9 KB ( 48020 bytes ) File name: file-4017989_zip File type: unknown Detection ratio: 0 / 41 Analysis date: 2012-05-28 11:48:54 UTC ( 17 Stunden, 37 Minuten ago ) Untersucht am: Mo 28 Mai 2012 22:23:38 (CET) Dateigröße: 41788 Bytes Dateityp: Zip archive MD5: 45df1ec86dfdf3f039020296dfbd1e97 SHA1: d547d58d26dc903ab27893810fcd28fdba567987 SHA256: 6b40c3a466a7446e244c914ca36c20f085ce119fe9bfa4b47ca3de0a4dce8c82 SHA1: d547d58d26dc903ab27893810fcd28fdba567987 MD5: 45df1ec86dfdf3f039020296dfbd1e97 File size: 40.8 KB ( 41788 bytes ) File name: Rechnung Mai.zip File type: ZIP Detection ratio: 10 / 42 Analysis date: 2012-05-28 15:19:42 UTC ( 14 Stunden, 9 Minuten ago ) -------------------- Es ist gut, dass wir verschiedener Meinung sind, sonst hätten wir beide Unrecht. |
|
|
29.05.2012, 17:43
Beitrag
#15
|
|
Threadersteller Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Oh, da bin ich irgendwie durcheinander gekommen, wo die este Datei her ist weiß ich im moment auch nicht. Ich suche sie gerade auf meinem Rechner. Jetzt prüfe ich das richtige Sample, mit Jotti, weil virustotal rumzickt.
Das ergebnis von Jotti, http://virusscan.jotti.org/de/scanresult/e...8214ad2e46ceca5 das sit jetzt das richtige. Am Samstag war bei beiden glaube ich alles clean, also war es schon wieder eine neue variante, wen es sich dabei um den Verschlüßelungs Trojaner handeln sollte. PS: Komisch die erste Datei, finde ich garnicht bei mir. Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 06:03 |