Trojaner: Angebliche Bilder vom Handy

Zwei vorgebliche Bilder, die angeblich mit dem Samsung Handy, deren Besitzer ich nicht kenne, gesendet wurden. Nur zu blöde, dass Dateien mit der Endung „cab“ keine Bilder sind, sondern ein spezielles Archivformat für Microsoft Updates. In den Archiven befindet sich ein Programm, dass den Trojaner auf den Rechner bringt.
Laut Virustotal erkennen zur Zeit (18:25 Uhr) nur 7 von 43 Virenscannern den Schädling.

Was mich enttäuscht, dass 46 Virenscanner die Anhänge als in Ordnung einstufen.

Also: Finger weg.

Jemand hat dir eine Videobotschaft hinterlassen

Angebliche Videobotschaft
Angebliche Videobotschaft

Wenn mir eine Fabienne Schulz eine Videobotschaft schreibt, dann doch bitte nur mir und nicht einem Thorsten W… Außerdem sollte sie wissen, dass Torsten nicht Fabienne Schulz heißt und sie selbst nicht „jemand“ ist, sondern Fabienne Schulz.

Wer in eine solch plumpe Falle tappt, der ist selber schuld.

Finger weg von solchen E-Mails. Insbesondere das der Flash-Player zur Zeit nicht koscher ist. Der Link führt allerdings über mehrere Umleitungen auf einen Fehler 403.

bit.ly/1vw1WmZ => dgnda.enmyas.su => b-unitd.com => tracker.brokeragecapital.com => bigprofitgenerator.com

Gute Nacht

Trojaner: Postal Notification

Trojaner Postal Notification
Trojaner Postal Notification
Die gestern und heute Tage kamen fünf E-Mail mit dem Betreff „Postal Notification“ in meinem Postfach an. Über einen Link soll der Empfänger verleitet werden das Programm notification.exe, das in einem Zip-Archiv notizication.zip enthalten ist, auszuführen. Dazu musste der Empfänger aber das Archiv von einem Server herunterladen. Weniger Tarnung geht kaum noch. In den fünf E-Mails fanden sich vier Server, von denen nur einer den Trojaner heute noch enthielt. ClamAV erkannte die Datei als Win.Trojan.Generickd-1826.

Netter Versuch, aber: Wie viel Erfolg bringt so ein Trojaner?

Die E-Mail wird

  1. von SpamAssassin mit einem Score von 14 und höher als Spam erkannt,
  2. vom Virenscanner nach wenigen Stunden als Trojaner erkannt,
  3. drei von vier Servern sind nach wenigen Stunden enttarnt und bereinigt,
  4. zu guter letzt werden auch noch fünf identische E-Mails ohne Absender an den gleichen Empfänger geschickt.

Wie dumm muss ein Empfänger sein, damit er dieser E-Mail auf den Leim geht?

Wie wäre es, das Datum in der E-Mail auf das aktuelle Datum zu setzen? Eine Information nach 10 Tagen ist doch eher unwahrscheinlich.

SPAM: Ihr Finanzamt – ELSTER.DE

Gestern waren einige E-Mails im Postfach, die angeblich vom Finanzamt stammen. Ich habe zwei verschiedene Texte gefunden. Gemein ist allem Mails, dass sie einen Anhang mit Namen Erklarung09201429.zip enthalten, wobei die Zahl differieren kann. Das Zip-Archiv ist jedoch zerstört. Bei mir zeigt ark ein leeres Inhaltsverzeichnis an und unzip -l meldet:

End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.

Damit ist der Trojaner soweit ich es beurteilen kann wirkungslos. Es sein denn, er nutzt eine Sicherheitslücke bei ZIP-Dateien unter Windows aus.

Ansonsten nichts neues. Hier noch der Text der E-Mails.

Sehr geehrte Damen und Herren,

USt.-IdentNr.: DE13592

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue (angebracht).

Ihre Datei finden Sie als D0C Datei im Anhang dieser E-Mail Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.

Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

Mit freundlichen Grüßen

Ihr Finanzamt / Ihre Steuerverwaltung

HINWEIS:
Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihrer Steuererklaerung die Mailbenachrichtigung auf diese E-Mailadresse gewünscht haben.
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.

Sehr geehrte Damen und Herren, irgendwas@example.com.

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue.

Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

——– Ihre Datei finden Sie als D0C-Datei im Anhang dieser E-Mail ——–

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.
Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

IdentNr: 4008371707
Mit freundlichen Grüßen
Ihr Finanzamt / Ihre Steuerverwaltung
elster.de

Neuer MS-Word Trojaner

Erste Seite des MS-Word Trojaners
Erste Seite des MS-Word Trojaners
Heute habe ich zahlreichen E-Mails mit einem neuen MS-Word Trojaner erhalten. Entweder konnte ich das Dokument direkt herunterladen, oder es war in einer Zip-Datei eingebunden. Die älteste E-Mail ist von heute 8:32 MESZ.

Betreff Zeilen sind beispielsweise:

  1. The answer from the forum id 56681472642
  2. Re: Erforderliche Dokumentation #454012
  3. Die Anfrage ist erfolgreich abgeschlossen

Die Nummern können dabei durchaus variieren. Auch wird die Schadsoftware über zahlreiche gehackte Server bereitgestellt.

Die Dateien heißen Dokumentation.zip, Abschluss.Doc, oder Die_Anforderung.zip. Teilweise wird dem Downloadlink auch die E-Mailadresse des Adressaten angefügt. Z.B. …/Dokumentation.zip?posnmaster@example.com. Die Datenbank der E-Mail-Adressen, die die Kriminellen verwenden, ist sehr schlecht. Für eine meiner Domains werden Adressen genutzt, die ich nie verwendet habe. Wie hier zu sehen posnmaster statt postmaster.

Sichtbar gemachter Beginn des Programmcodes des Trojaners.
Sichtbar gemachter Beginn des Programmcodes des Trojaners.

Das Word-Dokument enthält Hinweise, wie der Empfänger die Makro-Sicherheit ändern muss, damit der Trojaner funktioniert. Netter Trick. Im hinteren Teil ist der Code des Programms als Text eingetragen, allerdings in weißer Schrift auf weißem Grund, so dass der Programmcode auf den ersten Blick nicht erkennbar ist. Das Dokument scheint nur unsinnig viele leere Seiten zu enthalten.

Die Subroutinen des Trojaners ist stärker obfuskiert als bei den bisherigen Makro_Trojaner. Sogar der Text des Dokumentes wird am Ende geändert. Im Kern wird recht umständlich nach einem Marker „XsTSveotalxVWX“ gesucht, der den Beginn des Programmcodes kennzeichnet. Anschließend wird der Code in eine Datei im Userprofile – in einem Fall hgZWJKrXclYjI.exe – gespeichert und anschließend ausgeführt. Einige Seiten werden bereits als gefährliche Seiten erkannt. Die meisten Antiviren-Programme erkennen die Dateien und die Server immer noch nicht als Schadsoftware oder als befallene Seiten.

Hier geht es zu einem Report bei Virustotal.

Gute Nacht.

Trojaner: Abmahnung

Werdermann | von Rüden
(wvr-law.de)
versenden keine Abmahnungen per E-Mail!

Heute habe ich endlich auch einen Abmahn-Trojaner bekommen. Die Rechtsanwaltskanzlei Werdermann | von Rüden, von der die E-Mail vorgibt zu sein, weist darauf hin, dass sie keine Abmahnmails versendet.

Dies macht zur Zeit keine Rechtsanwaltskanzlei! Dies kann sich allerdings mit DE-Mail ändern.

Möglicherweise sind auch andere Kanzleien als Absender benannt. Ich habe allerdings nur eine E-Mail bekommen und kann daher zu anderen Betroffenen (Kanzleien, Bands, Alben) nichts sagen.

Quelle und Lebenslauf des Trojaners

„Trojaner: Abmahnung“ weiterlesen

Trojaner: MS Word Anhänge

Die MS-Word Dokumente scheinen sich einer neuen Beliebtheit als Viren und Trojanerschleuder zu erfreuen. Heute fand ich zwei E-Mails mit einer anderen Variante im Postfach. Der Text der E-Mails ist minimal: „Trojaner: MS Word Anhänge“ weiterlesen

Trojaner: Fax sendebericht

Angeblicher Fax- Sendebericht (Screenshot)
Angeblicher Fax- Sendebericht
Heute versuchen es die Verbrecher wieder mit angeblichen Fax Nachrichten. Bei mir ging eine E-Mail mit dem Titel „Fax sendebericht“ ein. Die Mail enthält zwar keinen Anhang, aber einen Link auf eine Zip-Datei, die das Opfer herunterladen soll. Der Link „http://myflaps.com/fire/mehalu.php?fax=…&hash=…“ dürfte einen Schlüssel auf eine Adressdatenbank enthält, so dass die Verbrecher verfolgen können, wer die Datei herunterlädt.

„Trojaner: Fax sendebericht“ weiterlesen

Vorsicht! Trojaner in vielen Gewändern

Derzeit sind die Trojaner in verschiedenen Gewändern, meist getarnt als Rechnungen für irgendwelche Bestellungen, die man nicht getätigt hat.

„Vorsicht! Trojaner in vielen Gewändern“ weiterlesen

SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung

Word Makro Viren oder Trojaner habe ich schon lange nicht mehr gesehen – ihnen allerdings auch keine große Beachtung geschenkt. Heute haben kam folgende Mail in den Briefkasten:

„SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung“ weiterlesen