[vgwort line=“46″ server=“vg08″ openid=“81f43838f1614b06a43c26224ee8f7dc“]
Heute fand ich erstmals eine Warnung in meinem Postfach, dass ein verdächtiger Login in meinen Google Account beobachtet wurde. Angeblich stammt die Mail von accounts-noreply@google.com. Angehängt ist wie so oft bei diesen Versuchen eine ZIP-Datei – in diesem Fall Google_Accounts_Alert-7882-WVD-6539.zip – die ein Windows-Programm Google_Accounts_Alert.exe enthält. Also: Wieder ein plumper Versuch einen Trojaner zu verbreiten. Aber ich bin mir sicher, es gibt genug DAU, die darauf rein fallen.
Ich habe in dem nachfolgenden Auszug aus dem HTML-Teil die „//“ im Link (href) durch „__“ durch eine Dummy Seite ersetzt. Die Links führen in diesem Fall allerdings direkt zu Google, falls man sich nicht schon einen Trojaner eingehandelt hat, der die Adressen umlenkt. Im Text Teil hat der Autor auch die wichtigen Leerzeichen am Ende der beiden Links vergessen, so dass der nachfolgende Text mit zum Link gehört. Etwas schlampige Arbeit.
BTW: Die Mail Adresse, an die diese Mail ging, ist nicht die bei Google bekannte.
Zwar versucht der Spammer ein Versenden über Google zu nachzubilden, aber zwischen meinem Server und dem Sender ist ein Bruch in der Kette der „Received“ Einträge im Kopf der Mail. Das geht sicher besser.
Received: from host128-129-static.24-87-b.business.telecomitalia.it (host128-129-static.24-87-b.business.telecomitalia.it [87.24.129.128])
by h1383963.stratoserver.net (Postfix) with ESMTP id 7AD97206E7AC
for <thomas @t-arend.de>; Mon, 3 Sep 2012 13:07:56 +0200 (CEST)
Received: by 10.182.146.84 with SMTP id ta20mr12340748obb.19.1342387398097; Mon, 3 Sep 2012 12:07:56 +0100
Da mein Server vertrauenswürdig ist, stammt auch der letzte vertrauenswürdige Eintrag in der „Received“-Kette von ihm. Die Mail hat mein Server von einem Rechner mit der IP-Adresse 87.24.129.128 erhalten. Dieser Host ist zur Zeit nicht im Netz. Von hier gibt es einen Sprung auf die Adresse 10.182.146.84. Diese gehört in ein privates Class-A Netz. Dem Eintrag fehlt ein from-Eintrag. Frage: Wie ist der Eintrag von 10.182.146.84 nach 87.24.129.128 gekommen? der Rechner könnte natürlich ein interne und externe Adresse haben. Allerdings wäre es seltsam, wenn Google sich dieses Weges bedienen würde. Ich vermute, dass der Host 87.24.129.128 zu einem Bot-Netz gehört. Diese Art Spam verbreitet keiner von seinem eigenen Rechner.
Hier der Text der Mail:
Hello,
Someone recently tried to use an application to sign in to your Google Account.
We prevented the sign-in attempt in case this was a hijacker trying to access your account.
Please review the details of the sign-in attempt in attached file
If you do not recognize this sign-in attempt, someone else might be
trying to access your account. You should sign in to your account and reset your password immediately.
Find out how at http://support.google.com/accounts?p=reset_pw
If this was you, and you want to give this application access to your account,
complete the troubleshooting steps listed at http://support.google.com/mail?p=client_login
Sincerely,
The Google Accounts Team
© 2012 Google Inc. 1600 Amphitheatre Parkway, Mountain View, CA 94043
You have received this mandatory email service announcement to update you about important changes to your Google product or account.
Auch ich habe heute diese Mail bekommen.Alles ziemlich authentisch, die ZIP Datei als Anhang hat mich jedoch sofort stutzig gemacht. Mich würde interessieren was damit bezweckt werden soll bzw. was für eine Mal ware dahinter steckt. weiß da jemand was drüber?
Ich habe die Datei bei VirusTotal hochgeladen. Kaspersky erkennt sie als Backdoor.Win32.Androm.hl und als Generic BackDoor.u.
Es braucht immer eine Weile, bis die Scanner diese Dateien als Malware erkennen, obwohl das Grundprinzip immer gleich ist: ZIP-Datei mit ausführbaren Programm. Ich verstehe nicht, warum in diesen Fällen ClamAV oder AntiVir nicht wenigstens eine Warnung produzieren.
Your BlackBerry ID has been created!
Ich hab diese mail auch bekommen!
Bin aber nicht so bewandert mit der Materie, dass ich aus dem ersten Beitrag schlau werde und genau weiß was zu tun ist…
Hab natürlich nicht mein Passwort sofort verändert, da mir die e-mail nicht als vertrauenswürdig erschien!!!
Also jetzt alles beim alten belassen oder wie fortfahren?
Danke schonmal für eine helfende Antwort
Ab und an ein Passwort ändern ist nicht schlecht; natürlich nicht über den Link in einer solchen Mail. Das wäre fatal. Wäre zufällige Passwörter nutzt, ist generell gut dran. Meines Erachtens ist dann ein ändern auch nicht erforderlich. Ich nutze dem Passwortspeicher des Firefox und erzeuge Passwörter mit pwgen und maximal zulässige Länge. Brute Force Angriffe laufen da ins Leere und jedes Passwort ist gleich gut oder schlecht. Da es ist egal, ob ich es jeden Monat ändere oder drei Jahre behalte.