Autor Thema: Virenpost macht die Runde  (Gelesen 9039 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Virenautoren versuchen vorweihnachliche Online-Einkäufe auszunutzen
« Antwort #30 am: 15 Dezember, 2006, 16:10 »
Virenautoren versuchen, sich vorweihnachtliche Online-Einkäufe von Anwendern zunutze zu machen, um PCs mit Schädlingen zu infizieren. So kursieren derzeit vermehrt Mails, die vorgeben, eine Rechnung für eine Bestellung zu enthalten, etwa eine Digitalkamera von Sony zum Preis von 391 Euro vom Versender Sunrise-Elektronik.

Sony RX-F18 8.0 MP Digital Camera



Ihre Bestellung # 77136 von EUR 391.00 ist angenommen.


Ihre Karte wird mit dem faelligen Betrag belastet. Danke fuer Ihren Kauf.


Als Anlage finden Sie die Rechnung.


Wer nicht genau hinschaut und vielleicht ohnehin gerade ein Bestellbestätigung erwartet, könnte unvorsichtigerweise den Anhang öffnen. Darin steckt statt der Rechnung aber eine ausführbare Datei (beispielsweise rechnung_77136.exe), die den Downloader Nurech enthält, der nach der Infektion weitere bösartige Dateien nachlädt und in ähnlicher Form auch in gefälschten Telekom-, eBay- und Amazon-Rechnungen zu finden ist. Bei einem kurzen Test erkannten nicht alle Virenscanner den Schädling. Unter anderem versagten Avast, AVG, Bitdefender, Microsoft und Norman.

Wie immer gilt: Anwender sollten bei zugesandten Mails größte Vorsicht walten lassen – egal, von wem die Mail zu stammen scheint. Inbesondere sollte man keine ausführbaren Anhänge im Mail-Client öffnen. Allerdings verhindern die meisten E-Mail-Clients dies ohnehin in der Standardkonfiguration. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Gefälschte Neckermann-Rechnung enthält Malware
« Antwort #31 am: 22 Dezember, 2006, 15:29 »
Die Verbreitung von Trojanischen Pferden über vorgebliche Rechnungen per Mail erfolgt zurzeit auch im Namen des Online-Shops von Neckermann.

In dieser Woche werden Spam-artig Mails mit vorgeblichen Rechnungen des Online-Shops neckermann.de verbreitet. Darin wird die angebliche Bestellung einer Videosammlung oder auch einer Digitalkamera bestätigt und auf den Anhang verwiesen. Dieser soll die laut Mail-Text die Quittung enthalten.
 

Die Mails werden mit gefälschten Absenderangaben verschickt und tragen einen Betreff wie "Vielen Dank fur Ihren Einkauf der Videosammlung!" oder auch "Bestellung # 53615 von EUR 391.00 ist angenommen." Im Text wird ferner die Abbuchung des Rechnungsbetrags von der Kreditkarte angekündigt.

Auf der Website des Online-Shops von Neckermann gibt es bereits eine Warnung vor diesen Mails:
"Derzeit sind gefälschte neckermann.de-Mails im Umlauf, die vermutlich einen Virus als Anhang haben. In den Mails wird behauptet, es fände eine Abbuchung von Ihrer Kreditkarte statt. Wir möchten ausdrücklich darauf hinweisen, dass diese Mails nicht von neckermann.de stammen. Bitte öffnen Sie den Anhang auf keinen Fall und löschen die Mails umgehend."

Der Anhang besteht aus einer Datei "empfangsschein.exe" (5916 Bytes). Hierbei handelt es sich um ein Trojanisches Pferd. Dessen Aufgabe ist es, weitere Malware aus dem Internet nachzuladen und zu installieren.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Kamera-Rechnungen mit Trojanischem Pferd
« Antwort #32 am: 25 Januar, 2007, 14:16 »
Auch heute gibt es wieder Mails mit vorgeblichen Rechnungen, diesmal bezogen auf den angeblichen Kauf einer Digitalkamera bei einer Firma namens Sunrise. Der Anhang enthält ein Trojanisches Pferd.

Wie bereits in den letzten Tagen werden auch heute wieder Spam-artig Mails mit vorgeblichen Rechnungen verbreitet, deren Anhang Malware enthält. Die gefälschten Absenderangaben verweisen auf eine fiktive Firma namens "Sunrise Elektronik GmbH", bei der die Mail-Empfänger angeblich eine Digitalkamera gekauft haben sollen. Bereits im November 2006 wurden ähnliche Rechnungs-Mails verbereitet.

Die Mails kommen mit einem Betreff wie "Ihre Bestellung # 24435 von EUR 453.00 ist angenommen", wobei die angegebene Rechnungsnummer variiert. Der Text verweist bezüglich der Rechnung auf den Anhang, eine gerade einmal 2141 Bytes große Datei mit Namen "rechnung.exe". Dies ist ein Trojanisches Pferd, das gleich drei weitere EXE-Dateien von einem Web-Server herunter lädt, dessen Domain in Hongkong registriert ist.

Bei diesen Schädlingen handelt es sich unter anderem um ein Trojanisches Pferd aus der "Goldun"-Familie, das Zugangsdaten für das Online-Banking ausspähen soll. Die beiden anderen dienen mutmasslich dem Aufbau eines Botnets.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Neuer Ebay Trojaner im Netz unterwegs
« Antwort #33 am: 29 Januar, 2007, 21:09 »
Zur Zeit ist im World Wide Web ein neuer Trojaner unterwegs der sich als vermeintliche Rechnung vom bekannten Auktionshaus Ebay verbreitet. Die falsche Rechnungsmail enthält einen Dateianhang mit einer PDF-Rechnung in Höhe von 426,96 Euro aber wenn diese geöffnet werden sollte wird der Rechner durch den Trojaner infiziert.

Sobald der Trojaner auf den Rechner gelandet ist kann ein Hacker sensible persönliche Daten ausspionieren und bedroht sind besonders Interneteinsteiger denn die Mail gibt vor tatsächlich vom amerikanischen Auktionskonzern Ebay zu kommen.

Schon seit mehreren Wochen verschicken unbekannte Cyberkriminelle im Namen bekannter Unternehmen wie der 1&1 Internet AG über das Internet gefälschte Rechnungen mit dem Ziel an persönliche sensible Informationen wie Kontonummern oder Logindaten zu gelangen. Wenn eine solche Mail mit einer vemeintlichen Rechnung im eigenen virtuellen Postfach eintreffen sollte dann ist es empfehlenswert diese nicht zu öffnen damit der Rechner vor Viren, Würmern oder Trojanern geschützt ist.

Quelle: virenschutz.info

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Malware in vorgeblichen Rechnungen von TMS Logistik
« Antwort #34 am: 12 Februar, 2007, 16:56 »
Heute werden deutsche Mailboxen wieder mit Mails beworfen, die ein Trojanisches Pferd enthalten. Eine kommt zum Schein von TMS Logistik und bestätigt eine angebliche Bestellung in einem Web-Shop.

Auch in dieser Woche haben deutsche Internet-Nutzer keine Ruhe vor Mails mit vorgeblichen Rechnungen und anderen Gelegenheiten sich den PC zu verseuchen. Wie bereits mehrfach zuvor werden Mails verschickt, die vorgeben von einer Firma TMS Logistik zu kommen und eine "Webshop Bestellung" zu bestätigen.

Die Mails tragen einen Betreff wie "KD 89867 Webshop Bestellung 2.02.2007" (die Zahlen sind unterschiedlich) und im Anhang steckt der angebliche Aufrag als vermeintliche PDF-Datei "Bestellung-89867.pdf.exe" (die Nummer ist variabel). Diese EXE-Datei ist ein Trojanisches Pferd, das weitere Schädlinge aus dem Internet nachlädt.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Amazon-Rechnung mit Trojanischem Pferd
« Antwort #35 am: 15 Februar, 2007, 17:35 »
Vorgeblich vom Online-Versandhändler Amazon stammende Mails mit einer Rechnung werden Spam-artig verbreitet und transportieren Malware zu potenziellen Opfern.

Wenn Sie eine Mail von Amazon erhalten, die Ihnen bestätigt, Sie hätten ein Notebook bestellt, dann haben Sie die neueste Variante einer Standardmasche der Malware-Versender vor sich. Mit einem Betreff wie "Ihre Bestellung 2828133 bei Amazon.de" (die angebene Bestellnummer varriiert) kommen Spam-artig Mails, die zum Beispiel eine Rechnungssume von 1862,- Euro für ein Notebook der Marke Vaio nennen.

Um die Empfänger dazu zu verleiten den Anhang zu öffnen, heißt es im Mail-Text weiter, wenn man die Bestellung stornieren wolle, müsse man die auf der beigefügten Rechnung genannte Telefonnummer des Kundesdienstes anrufen. Der Anhang trägt einen Dateinamen wie "9466973.exe", auch hier variiert die Nummer.

Es handelt sich bei dieser EXE-Datei um ein Trojanisches Pferd, das versucht, Sicherheitsprogramme auszuschalten, weitere Malware aus dem Internet zu laden und persönliche Daten auszuspionieren.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Angebliche Ikea-Rechnungen mit Trojaner
« Antwort #36 am: 19 Februar, 2007, 20:15 »
Wie viele Leser berichten, spült ein Bot-Netz derzeit angebliche Ikea-Rechnungen in die Postfächer. Das Schema ist bekannt: Mails mit einem Betreff wie "Ihre IKEA Bestellung" oder ähnlich, fordern dazu auf, die Rechnung im Anhang zu begutachten:

Sehr geehrter IKEA Kunde,

die Gesamtsumme für Ihre Rechnung beträgt: 383,77 Euro. Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

Die ZIP-Datei enthält jedoch eine ausführbare EXE-Datei mit der doppelten Endung pdf.exe, die sich zusätzlich mit einem PDF-Icon tarnt. Wer sie öffnet, lädt damit weiteren Unrat auf seinen Rechner. Konkrete Analysen stehen noch aus, aber vermutlich handelt es sich wie gewohnt um Spionageprogramme und Bot-Netz-Software, die den Absendern das Fernsteuern des Rechners erlaubt.

Die Erkennungsrate von AV-Software ist -- wie bei diesen Rechnungs-Trojanern üblich -- noch sehr schlecht. Lediglich ein paar Exoten wie Ikarus (Trojan-Downloader.Win32.Small) und ClamWin (Trojan.Fakebill) erkennen den Schädling bereits. Die trojanischen Pferde werden so lange variiert, bis zumindest die bekannten Viren-Scanner sie nicht mehr erkennen. Der Versand erfolgt dann über ein Bot-Netz innerhalb weniger Stunden an hunderttausende oder Millionen von Mail-Adressen. Kein Hersteller kann so schnell reagieren. Deshalb wird es immer wichtiger, Schad-Software nicht mit Signaturen sondern an ihrem Verhalten zu erkennen, wie es auch immer mehr Hersteller versuchen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Nächste Runde der Trojaner-Mails
« Antwort #37 am: 22 Februar, 2007, 12:03 »
Gleich zwei Trojaner-Wellen füllen derzeit die elektronischen Postfächer von Internetnutzern. Während seit dem gestrigen Mittwochabend vermeintliche Amazon-Rechnungen die Runde machen, erhalten viele Nutzer seit dem heutigen Donnerstagmorgen auch vorgebliche E-Mail-Änderungsbenachrichtigungen von eBay.

Die gefälschten Amazon-E-Mails waren nicht korrekt kodiert, sodass der Anhang in Mailprogrammen wie Thunderbird nicht einmal angezeigt wurde. Die eBay-Mails enthalten jedoch standardkonform eine ZIP-Datei im Anhang. Darin befindet sich Ebay.de_bitte_lesen.pdf.exe mit einer angeblichen Anleitung, wie man die E-Mail-Änderung verhindern könne, wenn man sie nicht selbst angestoßen habe.



Wie inzwischen üblich, haben die Virenbastler die Dateianhänge so modifiziert, dass sie kaum ein Virenscanner erkennt. Während der vergangenen Stunde haben aber Antivir, ClamAV, Ikarus und Kaspersky passende Signaturen für den eBay-Trojaner nachgelegt. Die Namen der Amazon-Schädlinge – bei mehreren Antivirenherstellern Trojan-Downloader.Win32.Nurech.as – lassen darauf schließen, dass es sich um Variationen desselben Trojaners handelt.

Die Social-Engineering-Variante, die beim Anwender Druck aufbauen und ihn so zum Ausführen des Dateianhangs verleiten soll, überrascht kaum. Daher hilft es schon, die üblichen Sicherheitshinweise beim Umgang mit E-Mails zu beachten. Welchen konkreten Schaden die ausführbaren Dateien anrichten und welche Dateien sie nachladen, ist bislang noch nicht klar. Eine Analyse der Schädlinge mit einer auf VMware basierenden Sandbox schlug fehl; vermutlich haben die Schädlinge Routinen zur Erkennung einer virtuellen Maschine und beenden sich darin vorzeitig.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Den Trojanischen Rechnungen auf der Spur
« Antwort #38 am: 23 Februar, 2007, 16:20 »
Die Rückverfolgung der diversen Rechnungs-Mails mit Trojanischen Pferden im Gepäck führt zu einem Server in Deutschland, auf dem Daten über etliche tausend verseuchte Rechner gespeichert sind.

Insbesondere seit Anfang dieses Jahres werden täglich wechselnde Mails mit vorgeblichen Rechnungen irgendeines Unternehmens Spam-artig verbreitet. Das Spektrum vorgeblicher Absender reicht von 1&1 und Amazon über die GEZ und Ikea bis zu fiktiven Zigarettenhändlern. Der bunte Strauß wird durch vorgebliche Mails vom BKA getoppt, die vorführen, wie Social Engineering zur Verbreitung von Malware funktioniert.

Vinoo Thomas von McAfee Avert Labs beschreibt im Weblog der Virenforscher , was hinter den Kulissen dieser Schädlingsepidemie vor sich geht. Ist ein PC mit einem der Schädlinge aus der Familie " Downloader-AAP ", wie sie bei McAfee genannt wird, verseucht, ermittelt dieser die aktuelle IP-Adresse des Rechners. Diese meldet er an einen bei einem der größten Web-Provider in Deutschland stehenden Server, möglicherweise an einen von mehreren.

Der von Vinoo Thomas gefundene und untersuchte Server enthält eine Verzeichnisstruktur, die für jedes Land einen eigenen Ordner aufweist - 95 insgesamt, von "AE" für die Vereinten Arabischen Emirate über "DE" für Deutschland bis "ZW" für Sambia. Das Geschäft scheint wohl gut zu laufen. Im Ordner für Deutschland finden sich zahlreiche Unterordner, je einer pro verseuchten PC. Die Ordner enthalten Textdateien mit ausspionierten Passwörtern, zum Beispiel Zugangsdaten für Ebay.

Die Methode der Malware-Verbreitung beginnt mit der Suche nach anfälligen Unix-/Linux-Systemen im Internet, auf denen ein Apache Web-Server läuft. Diese werden mit Malware bestückt, die von den per Mail verbreiteten Download-Programmen ("Trojan-Downloader") herunter geladen werden. Wird ein derart missbrauchter Web-Server vom Netz genommen, kann er leicht wieder durch einen anderen ersetzt werden.

Nachdem es nun gelungen zu sein scheint, Zugang zu einem Server zu erhalten, auf dem die ausgespähten Daten gelagert werden, sind Ermittlern auch Hinweise auf die Täter in die Hände gefallen. Das gibt Anlass zur Hoffnung, dass der Spuk bald ein Ende haben könnte.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Vorgebliche Rechnungen mit gefährlichem Link
« Antwort #39 am: 01 März, 2007, 17:26 »
Die Versender von vorgeblichen Rechnungen haben sich auf eine andere Masche verlegt. Sie senden keine Anhänge mehr sondern verlinken auf eine Website, die Sicherheitslücken ausnutzen soll, um Schädlinge einzuschleusen.

Seit gestern werden wieder Spam-artig vorgebliche Rechnungen einer "TMS Logistik GmbH" verbreitet. Inzwischen haben die Mail-Versender allerdings ihre Taktik geändert. Sie schicken keine Trojanischen Pferde als Mail-Anhang mit, sondern fügen im Text der Mails einen Link ein. Dieser Link verweist auf eine Website mit südkoreanischer Domain, die wohl kaum geeignet ist das Vertrauen aufmerksamer Mail-Empfänger zu erwecken.

Misstrauen ist auch angebracht - die verlinkte Web-Seite ist mit dem Webattacker-Toolkit präpariert, das verschiedene Exploits für bekannte Sicherheitslücken im Internet Explorer enthält. Möglicherweise ist auch ein halbwegs aktueller Firefox-Exploit dabei. Die Sicherheitslücken werden ausgenutzt um eine 2 KB große EXE-Datei einzuschleusen und auszuführen. Dabei handelt es sich um ein Trojanisches Pferd, das die Aufgabe der früheren Mail-Anhänge übernimmt: es lädt einen weiteren Schädling herunter. Dieser soll dann etwa Zugangsdaten für das Online-Banking ausspionieren.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Trojaner in gefälschten Single.de- und Quelle-Rechnungen
« Antwort #40 am: 07 März, 2007, 11:22 »
Mit gefälschten Rechnungen zur Mitgliedschaft bei der Partnersuchplattform single.de versuchen Virenautoren derzeit Anwender zu überrumpeln. Der Mailtext behauptet, man habe sich für die kostenpflichtige Partnersuche angemeldet. Der fällige Betrag werde dem Konto zur Last gelegt. Zukünftig erhalte man zweimal pro Woche Informationen über andere Partnersuchende aus der Region. Der Anhang soll dann die Rechnung und weitere Daten zum eigenen Profil enthalten. Zum Lesen des Anhangs sei kein zusätzliches Programm nötig.

Auch gefälschte Quelle-Rechnungen sind derzeit im Netz unterwegs. Frech behauptet die Mail sogar, die angebliche PDF-Datei (pdf.exe) im Anhang sei mit einer digitalen Signatur unterzeichnet worden und würde deshalb auch nach dem Signatur-Gesetz (SigG) anerkannt. Wie auch in den vorangegangenen Fällen gefälschter 1&1-, GEZ-, IKEA-, eBay- und auch aktuell wieder kursierender Amazon-Rechnungen steckt im Anhang ein Schädling, der sich auf dem System einnistet.

Eine konkrete Analyse der Schädlinge steht noch aus, es handelt sich hierbei aber um Trojaner der Nurech-Familie, die weitere Schadprogramme nachladen, etwa Spionageprogramme oder Bot-Netz-Software, die den Absendern das Fernsteuern des Rechners erlaubt. Die Erkennungsrate von AV-Software ist bislang noch mangelhaft. Den Quelle-Trojaner erkannten in einem Test nur Sophos, McAfee, F-Secure, ClamAV, Ikarus und Antivir.

Anwender sollten im Umgang mit Anhängen und vorgeblichen Rechnungen besonders vorsichtig sein. Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Vorgebliche Rechnungen mit gefährlichem Link
« Antwort #41 am: 15 März, 2007, 15:59 »
Die Versender vorgeblicher Rechnungen sind wieder aktiv. Einmal mehr vermeiden sie den Versand von Dateianhängen und schicken stattdessen lediglich einen Link auf eine Webseite mit Exploit-Code.

In heute versandten falschen Rechnungen einer "TMS Logistik GmbH" ist ein Link auf eine Webseite in Südkorea enthalten, die mit dem Web-Attacker-Toolkit präpariert ist. Die Mails kommen mit einem Betreff wie "KD 56132 Webshop Bestellung 27.02.2007" (die Nummer variiert). Im Text heißt es: "Die von Ihnen bestellten Waren sind vollstandig am Lager und werden umgehend durch die Logistikabteilung an Sie versandt." Danach folgt der nicht verschleierte Link nach Korea (.co.kr).

Wird der Link angeklickt, öffnet der Browser eine präparierte Seite, die einen winzigen Iframe von einer anderen Website nachlädt. Dieser enthält eine PHP-Anweisung zum Download eine EXE-Datei. Durch Ausnutzen von bekannten Sicherheitslücken im Browser, vor allem im Internet Explorer, wird die EXE-Datei eingeschleust und ausgeführt.

Es handelt sich dabei um ein Trojanisches Pferd aus der "Goldun"-Familie. Diese Schädlinge sind vor allem auf das Ausspionieren von Passwörtern und Zugangsdaten spezialisiert. Die hier verwendete neue Variante wird bislang nur von wenigen Virenscannern erkannt. Allerdings filtern einige Provider bereits Mails aus, die einen Link zu der koreanischen Webseite enthalten.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Falsche Ebay-Mails mit Trojanischem Pferd
« Antwort #42 am: 16 März, 2007, 16:32 »
Eine vorgeblich von Ebay kommende Mail bezüglich einer Adressänderung enthält einen schädlichen Anhang. Die Spam-artig verbreiteten Mails folgen dem inzwischen hinlänglich bekannten Schema ihrer Vorgänger.

Die Versender vorgeblicher Rechnungen haben offenbar befunden, dass Ebay mal wieder an der Reihe wäre als vermeintlicher Absender herhalten zu müssen. Möglicherweise haben sie bislang mit gefälschten Ebay-Mails gute Erfolge erzielt. Die Mails kommen mit einem Betreff wie "EBay-Hinweis zu geanderter E-Mail-Adresse". Im Anhang befindet sich ein ZIP-Archiv namens "Ebay.zip", das ein Trojanisches Pferd mit dem Dateinamen "Ebay.jpg.exe" (7 KB) enthält.

Im Text, der früheren Mails dieser Art gleicht, wird allerdings auf eine PDF-Datei hingewiesen, die sich im Anhang befinden soll. Darin soll der Empfänger eine Anleitung für den Fall finden, dass er gar keine Adressänderung vorgenommen hat. Ob hinter der somit doppelt falschen Dateiendung ein Versehen oder Absicht steckt, bleibt Spekulation.

Das Trojanische Pferd ist jedenfalls, wie schon in früheren Fällen, ein Downloader, der weitere Malware aus dem Web nachlädt. Dabei handelt es sich im eine 88 KB große Datei namens "2.exe" von einer lange bekannten Download-Adresse, wo ständig neue Schädlingsvarianten bereit gestellt werden. Bei dem nachgeladenen Schädling handelt es sich um Malware, die zum Aufbau eines Botnets dient. Infizierte Rechner werden zu so genannten Zombies, also fremdgesteuerte Teile des Botnets und mutieren auf Befehl zur Spam-Schleuder.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Vorgebliche Rechnung von Singles-4you
« Antwort #43 am: 19 März, 2007, 16:52 »
Vorgebliche Anmeldebestätigungen einer Single-Kontaktseite transportieren ein Trojanisches Pferd. Die Absenderangaben sind wie üblich ebenso falsch wie der Textinhalt dieser Mails.

Am Wochenende ist eine Welle von Spam-artig verbreiteten Mails übers Land geschwappt, die vorgeblich von der Website "Singles-4you" stammen. Tatsächlich werden sie mit gefälschten Absenderangaben versandt, die zusammen mit dem Inhalt der Mails nur dazu dienen sollen, die Empfänger zum Öffnen des Anhangs zu verleiten.

Die Mails kommen mit einem Betreff wie "Ihre Registrierung bei singles-4you.de", "Lastschrift Nr. 78119056", "Kostenpflichtige Klubmitgliedschaft" oder auch "www.singles-4you.de Anmeldung ID 81985666". Dabei sind die verwendeten Nummern variabel. Der Anhang besteht scheinbar aus einem ZIP-Archiv mit einem Dateinamen wie "82748.zip", wobei die Ziffern wiederum unterschiedlich sein können. Es handelt sich dabei jedoch nicht um ein ZIP-Archiv sondern um eine EXE-Datei mit einem Trojanischen Pferd, das weitere Malware aus dem Internet nachladen soll. Es handelt sich um denselben Downloader wie schon in den falschen Ebay-Mails vergangener Woche. Daher ist die Erkennung durch Antivirus-Programme auch von Anfang an relativ gut gewesen, gemessen an ähnlichen Mails der letzen Monate.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189132
  • Ohne Input kein Output
    • DVB-Cube
Falsche Mails vom Apple-Store
« Antwort #44 am: 20 März, 2007, 16:36 »
Vorgeblich von Apple kommende Mails mit einer Versandbestätigung über einen iPod enthalten einen Link zu einer Website, die ein Trojanisches Pferd einschleusen soll.

Zurzeit Spam-artig verbreitete Mails, die vorgeblich von Apples Online-Shop kommen, bestätigen eine angebliche Bestellung eines iPod und dessen anstehende Lieferung in einigen Tagen. Ein Preis wird nicht genannt, eine Rechnung ist auch nicht enthalten. Dafür jedoch ein Link, vorgeblich zur Website von Apple, wo die Empfänger der Mails angeblich den Status ihrer Bestellung überprüfen können.

Tatsächlich führt der Link jedoch zu "applestore.ms" und nicht zum echten Online-Shop unter "applestore.com". Die aufgerufene Seite täuscht zunächst eine Weiterleitung vor, die den Download eines Trojanischen Pferd mit dem Dateinamen "syme.exe" anstößt. Die Seite enthält zudem den Hinweis, falls der Browser eine Weiterleitung unterstütze, möge der Besucher "hier" klicken. Dieser Link führt dann zum echten Apple-Store.

Bei der herunter zu ladenden EXE-Datei handelt es sich um ein Trojanisches Pferd aus der Rbot-Familie. Diese Bots dienen in erster Linie dem Aufbau neuer sowie dem Ausbau bestehender Botnets. Wenn Sie also die Datei herunter laden und ausführen, wird Ihr PC zum fremdgesteuerten Werkzeug von Spammern, zu einem so genannten Zombie.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )