Autor Thema: Virenpost macht die Runde  (Gelesen 9042 mal)

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Telekom-Kunden leben wieder gefährlich
« Antwort #45 am: 21 März, 2007, 11:02 »
Kunden der Deutschen Telekom sollten in diesen Tagen bei einem Blick in das E-Mail-Postfach besonders vorsichtig sein. In der Nacht auf den heutigen Mittwoch haben Betrüger erneut unzählige gefälschte Telekom-Rechnungen verschickt. Im Anhang lauert vermutlich ein gefährlicher Trojaner.
   
Gefälschter Absender

Die HTML-Nachricht mit dem Betreff "Ihre detaillierte Telekom-Rechnung vom 1.02.2007 – 20.03.2007" stammt angeblich von der Deutschen Telekom AG. Als Absender wurde von den Spammern die gefälschte, aber durchaus vertrauenswürdig erscheinende Adresse Rechnung-Online@t-com.net genutzt. Gefährlich ist auch, dass die Gestaltung der E-Mail auf den ersten Blick recht professionell ausgefallen ist. Neben einer Rechnungsnummer ist in dem Schreiben auch eine Kundennummer zu finden. Diese Daten sind freilich frei erfunden, doch viele T-Com-Kunden dürften ihre Kundennummer nicht auswendig kennen.


Skepsis sollte aber vor allem der hohe - von E-Mail zu E-Mail variierende - Rechnungsbetrag von 285 Euro oder sogar fast 482 Euro auslösen, der eingefordert wird. Auch die Tatsache, dass im Anhang eine .zip-Datei darauf wartet entpackt zu werden, ist ein Alarmsignal. In der E-Mail heißt es zwar, dass der Anhang einen Einzelverbindungsnachweis beinhalte, tatsächlich lauert dort jedoch eine Datei namens T-Com.pdf.exe. Statt eines PDF-Dokuments lauert demnach eine ausführbare .exe-Datei, hinter der sich mit großer Wahrscheinlichkeit ein Trojaner versteckt. Wird er auf dem PC installiert, ist es den Versendern der gefälschten Rechnungen theoretisch möglich, persönliche Daten wie Passwörter auszulesen oder den befallenen Rechner für den weiteren Spam-Versand zu nutzen.

E-Mail löschen

Nach Angaben der Deutschen Telekom sollten betroffene Kunden die E-Mail sofort löschen. Das Unternehmen weist darauf hin, dass Kunden nur dann eine E-Mail mit integrierter Rechnung erhalten, wenn sie dies ausdrücklich wünschen. Außerdem sei in jeder E-Mail die exakte Buchungskontonummer des jeweiligen Kunden zu finden und der Kunde werde in der Nachricht in den meisten Fällen persönlich angesprochen.

Quelle : www.onlinekosten.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Mails mit Trojanern warnen vor Mails mit Trojanern
« Antwort #46 am: 23 März, 2007, 20:32 »
Besonders dreist ist die neueste Variante der offenbar nun monatlich wiederkehrenden gefälschten 1&1-Rechnungen. Die Mail enthält einen Sicherheitshinweis, man solle keinesfalls Anhänge in gefälschten Mails öffnen. Vielmehr solle man nur Mails wie dieser trauen. Die Echtheit der 1&1-Rechnung erkenne man daran, dass echte Rechungen immer als ZIP-Datei beigefügt seien und immer einen Sicherheitshinweis enthielten:

Aktueller Sicherheitshinweis:
=============================
Unbekannte haben Millionen von E-Mails versendet, die sich als Rechnungen der 1&1 Internet AG tarnen.
Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
Ausschließlich solchen E-mails wie dieser können Sie vertrauen. Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!



Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:


- Sie erhalten echte Rechnungen immer als ZIP Dateien
- Sie finden immer diesen Sicherheitshinweis darin


Solche Sicherheitshinweise in gefälschten Rechnungen sind nicht neu. Auch die kürzlich kursierenden Quelle-Rechnungen enthielten den Hinweis, dass die Rechnung in einem digital signiertem PDF-Dokument stecken würden. Allerdings steht zu befürchten, dass Anwender sich von dem Text überzeugen lassen und trotz aller Warnungen den Anhang entpacken und starten. Darin steckt ein Downloader, der sich auf dem System einnistet und weiteren Schadcode aus dem Internet nachlädt. Noch erkennen nur wenige Virenscanner den Schädling, gerade mal Antivir, ClamAV, eTRUST, F-Secure und Ikarus schlagen Alarm.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Falsche Rechnung mit Malware-Link
« Antwort #47 am: 29 März, 2007, 15:41 »
Einmal mehr werden vorgebliche Bestellbestätigungen von einer TMS Logistik GmbH verschickt, die auf eine koreanische Website verlinken. Diese versucht über Sicherheitslücken im Browser Malware einzuschleusen.

Die Malware-Spammer werden keineswegs müde auf sattsam bekannte Weise Malware unters Volk bringen zu wollen. Seit gestern Abend werden Spam-artig Mails mit einer vorgeblichen Bestellbestätigung eines nicht näher bezeichneten Web-Shops verbreitet. Als Absenderangabe dient einmal mehr eine fiktive "TMS Logistik GmbH", der Betreff lautet zum Beispiel "KD 00813 Webshop Bestellung 27.03.2007".
 

Die Mails bestätigen eine angebliche Warenbestellung ohne die Art der Ware zu nennen und verweisen auf eine von zwei verschiedenen Websites mit in Südkorea registrierten Domains (.kr). Eine davon wurde bereits vor zwei Wochen in gleicher Weise genutzt . Diese laden bei Aufruf einen versteckten iFrame, der Javascript-Code enthält. Es wird damit versucht, über bekannte Sicherheitslücken im Browser, vorzugsweise im Internet Explorer (IE), Malware einzuschleusen.
Der eingeschleuste Schädling gehört zur Goldun-Familie und spioniert vertrauliche Daten aus. So wird etwa eine Datei namens "ipv6monl.dll" im System32-Verzeichnis von Windows abgelegt und als BHO (Browser Helper Object) im IE registriert. Diese kann somit alle Eingaben in Web-Formularen abfangen und protokollieren.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Trojaner in gefälschter Avira-E-Mail
« Antwort #48 am: 23 April, 2007, 09:43 »
Seit Kurzem landen in den E-Mail-Eingängen vieler Anwender vermeintliche Bestätigungsmails von Avira, die einen Trojaner im Anhang enthalten. Laut der E-Mail handelt es sich bei dem Anhang um eine Installationsdatei für eine Vollversion eines Avira-Virenscanners. Allerdings handelt es sich bei der Datei nicht um den Virenscanner, sondern um einen Schädling.

Bislang ist noch wenig über den Trojaner im Anhang der Mails mit dem Betreff Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten bekannt. Es ist jedoch wahrscheinlich, dass es sich – wie bei derartigen Mails üblich – um eine Downloader-Komponente handelt, die weiteren Schadcode auf den Rechner herunterlädt und ihn so in eine hörige Drohne eines Botnetzes verwandelt.

Die E-Mails stammen vorgeblich von cleverbridge, dem Unternehmen, das den Online-Shop von Avira bereitstellt. Sofern man nicht kürzlich einen Virenscanner bei Avira bestellt hat, sollte man diese Mails einfach löschen und den Anhang nicht ausführen. Wer auf eine Bestellbestätigung wartet, sollte den Anhang ebenfalls nicht ausführen, sondern die bei celeverbridge heruntergeladene Datei zur Installation nutzen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Malware: Erneut falsche Antivir-Rechnungen
« Antwort #49 am: 30 April, 2007, 16:28 »
Mit dem Versand von Mails mit vorgeblichen Rechnungen über eine angeblich bestellte Version von Antivir gehen Malware-Spammer erneut auf die Suche nach neuen potenziellen Opfern.

Am Samstag sind wieder Spam-artig verbreitete Mails mit vorgeblichen Rechnungen von Aviras Online-Shop Cleverbridge im Umlauf gebracht worden. Wie bereits einige Tage zuvor werden diese Mails mit der gefälschten Absenderangabe "cleverbridge/Avira GmbH." über ein Botnet verschickt . Die Mails tragen den Betreff "Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten" und enthalten auch im Text den Hinweis auf die "Referenznummer: 595169". Diese Nummer findet sich ebenfalls im Dateinamen des Anhangs wieder.

Der Text verweist auf diesen Anhang, der einen Lizenzschlüssel für Antivir Personal Edition Premium mit einer Laufzeit von fünf Jahren enthalten soll. In dem ZIP-Archiv "595169.zip" steckt eine ausführbare Datei namens "HBEDV.KEY.exe", die 3584 Bytes groß ist. Dabei handelt es sich um ein Trojanisches Pferd. Wird das Programm gestartet, lädt es einen weiteren Schädling aus dem Internet herunter.

Dieser installiert eine Datei namens "ipv6monl.dll" im System32-Verzeichnis von Windows und registriert sie als BHO (Browser Helper Object) im Internet Explorer. Dadurch können online eingegebene Zugangsdaten abgefangen werden, die der Schädling an einen Server im Internet meldet. Ziel der Täter sind sowohl Passwörter für Online-Spiele als auch Anmeldedaten für das Online-Banking.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Malware: vorgebliche Rechnung von Ricardo
« Antwort #50 am: 12 Juni, 2007, 09:53 »
Die Versender von Malware-Spam folgen weiter dem ausgetretenen, anscheinend jedoch weiterhin lohnenden Pfad des Versands vorgeblicher Rechnungen per Mail. Diesmal ist es die Auktionsplattform Ricardo, die als angeblicher Absender der Mails herhalten muss.

Es scheint sich immer noch eine ausreichende Zahl von Opfern finden zu lassen, um das bereits seit längerer Zeit praktizierte Schema vorgeblicher Rechnungs-Mails lukrativ zu halten. So haben die Malware-Spammer am Wochenende Nutzer der Schweizer Auktionsplattform Ricardo.ch ins Visier genommen.


Die Mails kommen mit einem Betreff wie "Ihre Rechnung bei Ricardo.ch" und enthalten eine vorgebliche Kontoübersicht sowie verschiedene Schreibfehler. Der nur 4 KB große Anhang ist eine EXE-Datei mit doppelter Endung und heißt "Rechnung_N31295882-OM.PDF.exe". Es handelt sich dabei um ein Trojanisches Pferd, das eine Datei "ldr.exe" von einem Server in Malaysia herunter lädt, die es als "winstart64.exe" im Windows-Verzeichnis ablegt und ausführt.

Der verseuchte Rechner enthält schließlich eine offene Hintertür, über die via Internet auf den PC zugegriffen werden kann, sowie Spionageprogramme zum Ausspähen von Anmeldedaten für das Online-Banking. Der PC wird Teil eines Botnets und kann zum Beispiel fremdgesteuert Spam verbreiten.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Jürgen

  • der Löter
  • User a.D.
  • ****
  • Beiträge: 4999
  • white LED trough prism - WTF is cyan?
Re: Trojaner tarnt sich als Rechnung für Flugtickets
« Antwort #51 am: 12 Juni, 2007, 11:48 »
Wieder einmal ist dies ein Anlass, deutlich darauf hinzuweisen, dass die default bei Windoze voreingestellte Ausblendung der Dateierweiterung bei 'bekannten' Dateitypen absolut leichtsinnig und m.e. grob fahrlässig ist.
Also, wenn immer noch nicht geschehen, sofort in die
Ordneroptionen --> Ansicht
und diesen Mist abstellen!!!

Das Thema ist zumindest seit den Kournikova-jpg-vbs Schädlingen weltweit hinlänglich bekannt  ::)
Kein Support per persönlicher Mitteilung!
Fragen gehören in's Forum.

Veränderungen stehen an. Dies ist der bisherige Stand:
28,x°,23.5°,19,2°,13°Ost
,1mØ Multifeed, mit Quattro LNBs; Multiswitches 4x 5/10(+x) - alle ohne Terrestrik und modifiziert für nur ein 12V DC Steckernetzteil (Verbrauch insgesamt 15 Watt)
1mØ mit DiSEqC 1.3/USALS als LNB2 an DVB-S2 STB, aktuell 30°W bis 55°O
1.) FM2A88X Extreme6+, A8-6600K (APU mit 4x 3,9 GHz und Radeon HD8570D), 16GB DDR3 1866, 128GB SSD, 3TB HDD, Win10 x64 Pro 1909 / 10.0.17763.107, Terratec T-Stick Plus (für DAB+), Idle Verbrauch ca. 35 Watt
2.) FM2A75 Pro 4, A8-5600K (APU mit 4x 3,6 GHz und Radeon HD7530D), 8GB DDR3 1600, 128GB SSD, 2TB HDD, Win10 x64 Pro, Idle Verbrauch ca. 45 Watt
3.) Raspberry Pi 512MB u.a. mit Raspbian
4.) GA-MA770-UD3, Phenom II x4 940, 8GB DDR2, Radeon HD6570, 2TiB, USB 3.0, 10 Pro x64 (+ XP Pro 32bit (nur noch offline)), Ubuntu 10.4 64bit, Cinergy S2 USB HD, NOXON DAB+ Stick, MovieBox Plus USB, ...

Samsung LE32B530 + Benq G2412HD @ HDMI 4:2; Tokaï LTL-2202B
XORO HRS-9200 CI+ (DVB-S2); XORO HRT-8720 (DVB-T2 HD)
Empfänger nur für FTA genutzt / ohne Abos
YAMAHA RX-V663 (AV-Receiver); marantz 7MKII; Philips SHP2700 ...
FritzBox 7590 mit VDSL2 50000

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Malware: Vorgebliche Rechnungs-Mails von Otto.de und T-Mobile
« Antwort #52 am: 19 Juli, 2007, 15:54 »
In Spam-artig verbreiteten Mails, die vorgeblich vom Otto-Versand oder auch von T-Mobile kommen, sind Links zu Malware-Sites enthalten. Diese versuchen über Sicherheitslücken Trojanische Pferde einzuschleusen.

Seit gestern Abend werden Spam-artig Mails verbreitet, die vorgeblich von Otto.de kommen und den Betreff "Die Rechnung ist blockiert" tragen. Im Text heißt es, das Sicherheitssystem habe den Versuch verhindert den "Internetgeldbeutel" des Empfängers auszunutzen. Dieser wird aufgefordert "Aktivierungsprozedur noch einmal durchzunehmen" und soll dann den "Aktivierungskode und die neue Parole" erhalten. Dazu ist ein Link angegeben, der nur scheinbar "http://otto.de/de/" lautet.


Seit heute Morgen hat sich der vorgebliche Absender geändert, nunmehr muss T-Mobile herhalten. Die Mails kommen mit einem Betreff wie "Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben.". Darin werden Punkte versprochen, die man für kostenlose SMS nutzen können soll. Um den Punktestand zu überprüfen, wird ein Link angegeben, der nur scheinbar auf die Website von T-Mobile führt.

Die Links führen tatsächlich zu einer von vielen Seiten, die auf GeoCities.com zu diesem Zweck angelegt worden sind und in beiden Fällen eine Seite von Otto.de imitieren. Die meisten davon sind inzwischen von Yahoo wieder entfernt worden, es kommen aber immer noch neue nach. Diese Seiten dienen als erste Anlaufstation, die schädlichen Scripte sowie die eigentliche Malware kommen von anderen Servern.

Dahinter steckt das Angriffspaket "MPack", das automatisch versucht den verwendeten Browser zu ermitteln. Verfügt es über einen dazu passenden Exploit für eine Sicherheitslücke, schleust MPack einen Downloader ein, der weitere Malware nachlädt. Dabei handelt es sich um Schädlinge aus der Bzub-Familie, die unter anderen Passwörter und andere Zugangsdaten ausspionieren sollen. Zudem wird der befallene PC in ein Botnet eingegliedert und damit zur fremdgesteuerten Spam-Schleuder.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Warnung vor gefälschten T-Mobile-Mails
« Antwort #53 am: 23 Juli, 2007, 11:31 »
T-Mobile  warnt von gefälschten Mails, die vorgeben, kostenlosen SMS-Versand zu ermöglichen. Mit dem Betreff "Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben" und der Ankündigung, Punkte für SMS-Nachrichten gutgeschrieben bekommen zu haben, versuchen die Mails arglose Empfänger auf infizierte Webseiten zu locken:

Betr.: Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben.Die Gesellschaft "T-Mobile" dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefonsimmer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier http://www.t-mobile.de/mein-t-mobile/0,9703,14244-_,00.html anschauen. Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.

Der Link führt dann allerdings statt auf die Seiten von T-Mobile zu verschiedenen, bei Geocities registrierten Seiten. Einer Analyse von heise Security zufolge enthalten sie einen Iframe, der auf einen MPack-Server verweist, also einen der Server, die derzeit Ursache für die massenhaften Infektionen von Anwender-PCs sind. Im Iframe eingebetter Code versucht dann den PC mittels diverser Exploits zu infizieren und einen Trojaner einzuschleusen. Nach bisherigen Erkenntnissen ist MPack dabei aber nur bei ungepatchten Versionen des Internet Explorer 6 erfolgreich.

T-Mobile bedauert, dass die Mail in ihrem Namen versendet wurde. "Leider gibt es jedoch gegen das Benutzen fremder Identitäten im Internet keinen absoluten Schutz", erklärt die T-Mobile-Unternehmenskommunikation. Die gefährlichen Nachrichten stammen von denselben Absendern, die bereits am gestrigen Sonntag versucht hatten, ihre Opfer mit gefälschten Rechnungen des Versandhändlers Otto in die Falle zu locken. Warum die T-Mobile Muttergesellschaft Telekom derartig offenkündig bösartige Mails im eigenen Netz von T-Online nicht ausfiltert, bleibt offen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Neue Rechnungs-Mails mit Trojanischem Pferd
« Antwort #54 am: 24 Juli, 2007, 17:27 »
Heute werden Mails verbreitet, die vorgeblich von einem Internet-Dienstleister kommen und einen als Rechnung ausgewiesenen Anhang enthalten. Darin steckt jedoch ein Trojanisches Pferd.

Die Verbreitung Trojanischer Pferde per Mail als vorgebliche Rechnung wird heute um ein weiteres Beispiel bereichert. Diesmal ist es ein hierzulande eher unbekannter amerikanischer Internet-Dienstleister namens "User In Mind", dessen Domain als angebliche Absenderadresse herhalten muss. Die Mails kommen mit einem Betreff wie "#464146 Lieferung" (die Nummer kann variieren). Beim Text haben sich die Versender nicht viel Mühe gegeben, aber immerhin ist er in einwandfreiem Deutsch verfasst. Der verwendete Zeichensatz "KOI8-R" (kyrillisch) weist auf einen osteuropäischen Ursprung hin.

Der Text verweist auf den Anhang, der angeblich eine Rechnung enthalten soll. In dem Archiv "rechnung.zip" steckt eine 7 KB große EXE-Datei mit dem Namen "Rechnung______________23.07.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe". Dieser lange Name soll wohl sicher stellen, dass dem Empfänger die Dateiendung nicht auffällt, denn es handelt sich um ein Trojanisches Pferd.
Wird dieses Programm aufgerufen, nimmt es Verbindung zu Servern im Internet auf und lädt weitere Schädlinge herunter. Diese installieren letztlich eine 217 KB große Datei "ntos.exe" im System32-Verzeichnis von Windows. Hierbei handelt es sich um einen Schädling aus der Bancos-Familie, der Zugangsdaten für das Online-Banking ausspionieren soll.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Falsche Ebay-Mails: ein geschenkter Gaul
« Antwort #55 am: 31 Juli, 2007, 17:42 »
Vorgeblich von Ebay kommende Mails versprechen den Empfängern ein Geschenk, das sich jedoch bei näherer Betrachtung in jeder Hinsicht als Trojanisches Pferd entpuppt.

In Spam-artig verbreiteten Mails, deren gefälschte Absenderangaben eine Herkunft von Ebay vortäuschen sollen, sind Links zu Malware-Sites enthalten. Die Mails kommen mit dem Betreff "Das spezielle Geschenk zum Kauf." und beglückwünschen den Empfänger dazu der "Käufer #10.000 in unserem Geschäft" zu sein. Welches Geschäft das sein soll, bleibt ebenso unklar wie die Antwort auf die Frage, warum eine derartige Mail von einem Absender "ebay.de" kommen sollte.


Der Mail-Text fordert den Empfänger auf, einem Link zu folgen, denn "wir schenken Ihnen ein Geschenk". Der Link-Text suggeriert eine Ebay-Seite, tatsächlich zeigt er jedoch auf eine von zahlreichen Seiten bei Geocities.com, die für diese Zwecke angelegt worden sind. Wer dem Link folgt, erhält jedoch nur eine vorgetäuschte Fehlermeldung ("Server Error"), während im Hintergrund ein Script den zum ermittelten Browser passenden Exploit-Code anwendet, um Malware einzuschleusen.

Der Schädling ist ein Downloader, der weitere Malware aus dem Internet nachlädt. Diese installiert unter anderem eine Hintertür (Backdoor), um einem Angreifer Zugriff via Internet auf den infizierten PC zu ermöglichen. Außerdem wird ein Key-Logger installiert, der eingegebene Zugangsdaten ausspionieren soll.

Die meisten der präparierten Geocities-Seiten hat der Plattform-Betreiber Yahoo bereits dicht gemacht.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Vorsicht bei angeblicher Telekom-Onlinerechnung
« Antwort #56 am: 23 April, 2012, 19:00 »
Über täuschend echt nachgemachte Rechnungen der Telekom verbreiten derzeit Unbelannte speziell präparierte PDF-Dateien, die das System mit Spionage-Software infizieren können. Die Mail unterscheidet sich nur in Details von einer echten Telekom-Abrechnung. Doch wer die angehängte PDF-Datei öffnet, riskiert, sein System mit Spionage-Software zu infizieren. Die angebliche Rechnung nutzt nämlich mindestens eine bekannte Schwachstelle im Adobe Reader aus, um Schad-Software aus dem Internet nachzuladen und zu installieren.



Der bei der Schnellanalyse des PDFs in einer Sandbox gefundene Exploit beruht auf einer Sicherheitslücke, die Adobe bereits 2010 geschlossen hat. Es ist aber nicht auszuschließen, dass die Trojaner-Autoren auch neuere Tricks im Repertoire haben. Der Exploit lädt von mehreren URLs Programme wie "menu.exe", "shadow.exe" beziehungsweise "favorites.exe" nach und startet diese. Sie modifizieren dann diverse Systemeinstellungen, setzen sich dabei im System fest, lesen das Adressbuch aus und kontaktieren einen Command und Control Server – legen also typisches Botnetz-Client-Verhalten an den Tag.

Antiviren-Software tut sich schwer, den Anwender zu schützen: Laut Virustotal erkennen gerade mal 8 von 41 Scannern den PDF-Exploit als solchen; verbreitete AV-Programme wie Avira, AVG, Kaspersky und Symantec gehören nicht dazu. Noch schlimmer ist es bei den nachgeladenen Programmen, wo gerade mal ein Scanner Verdacht schöpft. Lediglich Kaspersky meldet kryptisch packed.win32.krap.it. Leider gibt es keine Dokumentation was das konkret bedeutet; in der Vergangenheit sprang die Signatur anscheinend auf Zeus-Online-Banking-Trojaner an. Ob eventuell beim Öffnen der PDF-Datei eine Verhaltensüberwachung misstrauisch wird und die Infektion unterbindet, konnten wir auf die Schnelle nicht testen.



Anwender sollten Software wie den Adobe Reader unbedingt immer auf dem neuesten Stand halten oder eventuell auch gleich eine der Alternativen verwenden. Die sind zwar nicht grundsätzlich sicherer, aber Exploits, die auf den Adobe Reader zugeschnitten sind, funktionieren damit nicht. Und speziell auf Sumatra oder Foxit ausgerichtete Schädlinge haben immer noch Seltenheitswert.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Jürgen

  • der Löter
  • User a.D.
  • ****
  • Beiträge: 4999
  • white LED trough prism - WTF is cyan?
Re:Trojaner tarnt sich als Telekom-Online-Rechnung
« Antwort #57 am: 24 April, 2012, 01:00 »
Papier ist mir da zur Zeit immer noch lieber, natürlich sind Online-Rechnungen auch nicht sicherer als Online-Banking.
Fast acht Jahre später ist zwar diese Zeit vorbei, auch weil die Papier-Form oft gar nicht mehr angeboten wird oder zumindest teuer kommt.

Aber das ...
Zitat
im Falle einer Störung, z.B. abgestellt wegen Nichtzahlung (einer ungerechtfertigt hohen Rechnung...) kommt man dann kaum noch an die Rechnung heran, um sie (teilweise) zu bezahlen.
... lässt sich inzwischen meist recht einfach umgehen, z.B. durch einen zweiten Zugang in Reserve (UMTS-Stick, freundliche Nachbarn oder schlimmstenfalls doch mal ein Internet-Cafe oder offenes WLAN).
Allerdings ist dafür eine wesentliche Voraussetzung, dass ein Zugang zu diesen Daten nicht zwingend auf den gebuchten Internet-Anschluß beschränkt ist.
Und zusätzlicher Risiken durch einen fremden Internet-Zugang sollte man sich stets bewusst sein. Zur Vorbeugung könnte dabei dienen, portable Software auf einem Stick einzusetzen, mit (nur) dort gespeicherten Passworten gegen Keylogger.
Portable PDF-Reader gibt's natürlich auch längst...
 
Zugegebenermaßen tritt auch der Fall einer (zunächst oder teilweise) nicht bezahlten Rechnung heute kaum noch auf:

- meist wird eine automatische Abbuchung vorausgesetzt, eigene Überweisung kaum noch erlaubt
- zahlreiche Risiken für hohe Zusatzkosten sind bei VoIP und Flatrates in der Regel gesperrt oder ohne Belang, damit ist auch der Fall der Nichteinlösung einer Lastschrift wegen unerwarteter Höhe seltener geworden  

Und als Fallback-System für's Telefon hat heute fast jeder ein Handy, selbst ich.
Ordentliche Provider sind zudem im Pannenfall zunehmend per normaler Festnetz-Nummer erreichbar, also auch per (Prepaid-)Handy noch bezahlbar.
Kein Support per persönlicher Mitteilung!
Fragen gehören in's Forum.

Veränderungen stehen an. Dies ist der bisherige Stand:
28,x°,23.5°,19,2°,13°Ost
,1mØ Multifeed, mit Quattro LNBs; Multiswitches 4x 5/10(+x) - alle ohne Terrestrik und modifiziert für nur ein 12V DC Steckernetzteil (Verbrauch insgesamt 15 Watt)
1mØ mit DiSEqC 1.3/USALS als LNB2 an DVB-S2 STB, aktuell 30°W bis 55°O
1.) FM2A88X Extreme6+, A8-6600K (APU mit 4x 3,9 GHz und Radeon HD8570D), 16GB DDR3 1866, 128GB SSD, 3TB HDD, Win10 x64 Pro 1909 / 10.0.17763.107, Terratec T-Stick Plus (für DAB+), Idle Verbrauch ca. 35 Watt
2.) FM2A75 Pro 4, A8-5600K (APU mit 4x 3,6 GHz und Radeon HD7530D), 8GB DDR3 1600, 128GB SSD, 2TB HDD, Win10 x64 Pro, Idle Verbrauch ca. 45 Watt
3.) Raspberry Pi 512MB u.a. mit Raspbian
4.) GA-MA770-UD3, Phenom II x4 940, 8GB DDR2, Radeon HD6570, 2TiB, USB 3.0, 10 Pro x64 (+ XP Pro 32bit (nur noch offline)), Ubuntu 10.4 64bit, Cinergy S2 USB HD, NOXON DAB+ Stick, MovieBox Plus USB, ...

Samsung LE32B530 + Benq G2412HD @ HDMI 4:2; Tokaï LTL-2202B
XORO HRS-9200 CI+ (DVB-S2); XORO HRT-8720 (DVB-T2 HD)
Empfänger nur für FTA genutzt / ohne Abos
YAMAHA RX-V663 (AV-Receiver); marantz 7MKII; Philips SHP2700 ...
FritzBox 7590 mit VDSL2 50000

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Kriminelle locken mit gefälschten Rechnungen in die Virenfalle
« Antwort #58 am: 03 Mai, 2012, 14:00 »
Kriminelle verschicken derzeit im großen Stil gefälschte Bestellbestätigungen, die den Empfänger dazu verleiten sollen, die angehängte Malware auszuführen. Besonders perfide ist dabei, dass die Angreifer offenbar gestohlene Kundendaten von Onlineshops nutzen, um den Empfänger der Mail mit seinem echten Namen anzusprechen.

Die Kriminellen geben vor, dass der Mailempfänger bei einem Shop eine Bestellung in Höhe von mehreren hundert Euro aufgegeben hat. Um es den Spam-Filtern schwer zu machen, variiert der Name des Shops. In den heise Security vorliegenden Mails sollen die Mailempfänger angeblich bei comstern.de, nierle.de oder elektronikmax.de eingekauft haben. Die in der Mailsignatur angegebenen Kontaktdaten werden offenbar bunt zusammengewürfelt: In keinem der Fälle hat etwa die angegebene Postleitzahl zu dem Ort gepasst.

Wer Bestellbestätigungen oder Rechnungen erhält, die er nicht zuordnen kann, sollte einen eventuell vorhandenen Dateianhang unter keinen Umständen öffnen. Denn auf den Virenscanner kann man sich in diesem Fall nicht verlassen: Die bei dieser Angriffswelle angehängte Datei Rechnungsdaten.zip (enthält Rechnungsdaten.exe) wurde in einem Test von heise Security nur von fünf von insgesamt 42 AV-Engines anhand ihrer Signatur erkannt – rund sieben Stunden, nachdem sie verschickt wurde. In diesem Fall ist eine gute Verhaltensüberwachung Gold wert. Bei dem Schädling handelt es sich anscheinend um eine Variation des ZeuS-Bots.

Übrigens sollte man nicht nur um Rechnungen im ZIP- oder EXE-Format einen Bogen machen: Es sind gefälschte Telekom- und Vodafone-Rechungen mit PDF-Anhang im Umlauf, die den Rechner über eine ältere Lücke im Adobe Reader zu infizieren versuchen. Auch mit Office-Dokumenten ist ein solcher Angriff vorstellbar.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189144
  • Ohne Input kein Output
    • DVB-Cube
Trojaner tarnt sich als Groupon-Rechnung
« Antwort #59 am: 06 März, 2013, 18:00 »
Cyber-Ganoven versenden derzeit recht gut gemachte Virenmails, die als Rechnungen der Shoppingseite Groupon getarnt sind. Der Empfänger wird mit seinem tatsächlichen Namen angesprochen und auch der Dateiname des angehängten Trojaners wird mittels Vor- und Zuname personalisiert.

Woher die Daten stammen, ist derzeit noch nicht geklärt. Wenn man die Berichte der Mailempfänger verfolgt, drängt sich jedoch der Eindruck auf, dass die Daten direkt von Groupon oder zumindest einer Partnerfirma stammen müssen. Zum Beispiel gibt einer der Empfänger an, dass er seinen Namen bei Groupon mit einer Abweichung angegeben hat, die sich auch in der Trojanermail wiederfindet.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )