Hiermit erhalten Sie die angeforderten Unterlagen
mfG
und dem netten Anhang 86320.zip, welche die Datei "Vertrag.pdf.exe" enthält.
Malware / Verdächtige Anhänge nicht unter Wind* Systemen lokal abspeichern!
[Link nur für registrierte Mitglieder sichtbar. ] meint dazu:
Code:
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt.
Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -
AntiVir HEUR-DBLEXT/Worm.Gen, TR/Dldr.Agent.20679
BitDefender Trojan.Downloader.Agent.YAJ
ClamAV Trojan.Fakebill-1
F-Prot Antivirus W32/Downloader2.CFO
F-Secure Anti-Virus Trojan-Downloader:W32/Nurech.BM, Trojan-Downloader.Win32.Nurech.bl
Fortinet W32/Agent.YAJ!tr
Kaspersky Anti-Virus Trojan-Downloader.Win32.Nurech.bl
Panda Antivirus Trj/Cimuz.BE
VBA32 Email-Worm.Vertrag
Die weiteren 9 Virenscanner haben die Malware nicht erkannt.
whois.ripe.net sagt über 87.189.101.222:
Code:
person: DTAG Global IP-Addressing
address: Deutsche Telekom AG
address: D-90492 Nuernberg
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: ripe.dtip at telekom.de
nic-hdl: DTIP
mnt-by: DTAG-NIC
source: RIPE # Filtered
Ist die Definition einer "Person" als whois Info so OK?
Mail an abuse at t-ipnet.de ist raus.
Grüße
Rava
P.S.
Wo gibt es Anleitungen wie man solchen Code in einer Sandbox oder besser unter einem Linux/BSD-System analysiert um die aufgerufenen Seiten zwecks Codenachladen hier nennen zu können?
Das wird ja auch ohne Assemblerkenntnisse gehen, oder?
hexdump -C hat nichts ergeben.
Geändert von Rava (28.04.2007 um 12:03 Uhr)
Grund: code verschönert :-)
Ist die Definition einer "Person" als whois Info so OK?
Ja. Es handelt sich um eine dynamische IP, weil bei einem normalen dial-up-Zugang, wie ihn der Normalverbraucher hat, die IP-Addresse bei jeder neuen Einwahl neu vergeben wird.
Es wäre auch gegen den Datenschutz, den Klarnamen des Endverbrauchers zur IP anzugeben.
Vermutlich handelt es sich um einen infizierten
[Link nur für registrierte Mitglieder sichtbar. ], über den der Spam als Zwischenstation verschickt wurde.
Goofy
______________________________ Weisheiten des Trullius L. Guficus, 80 v.Chr.:
"Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
"Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
"Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
"Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken
Wo gibt es Anleitungen wie man solchen Code in einer Sandbox oder besser unter einem Linux/BSD-System analysiert um die aufgerufenen Seiten zwecks Codenachladen hier nennen zu können?
Das wird ja auch ohne Assemblerkenntnisse gehen, oder?
hexdump -C hat nichts ergeben.
Anleitungen kenne ich keine, aber ich würde z. Bsp. eine virtuelle Maschine (Stichwort: VMWare Server) unter Linux installieren und dann darin als Guest System Windows zum Testen installieren. Und vor dem Test natürlich das Image des 'unverseuchten Systems' irgendwohin wegsichern, so dass man nach dem Test schnell wieder das saubere System zurückspielen kann.
Und dann ein diff über die Vorher/Nachherversion laufen lassen?
Ja, das wäre ein Ansatz. Und ggf. einen Packet Sniffer wie z. Bsp. Ethereal/Wireshark. Da habe ich aber noch nicht getestet, ob so etwas in einer virtuellen Maschine überhaupt funktioniert. Wenn der Virus aber Rootkit-Techniken verwendet und den Datenverkehr 'tunnelt', wird es schon schwieriger.
Heute Antwort von DTAG (von abuse {at} t-online.de, die wissen wohl auch nicht welche Adresse es denn sein soll ) Aber immerhin antworten Sie
O-Ton etwa "Beschwerde zur Kenntnis genommen, werden geeignete Maßnahmen ergreifen"
Neue Mail gefunden, wieder mit
Code:
Hiermit erhalten Sie die angeforderten UnterlagenmfG
und angefügten .zip. Malware laut
[Link nur für registrierte Mitglieder sichtbar. ] z.T. von den Virenscannern umbenannt. Wird von 7 Scannern dort nicht als Malware erkannt, die anderen 11 erkennen es als Malware.
header:
01: Return-Path: <Alyson [at] wanadoo.fr>
02: Delivered-To: GMX delivery to poor [at] spamvictim.tld
03: Received: (qmail invoked by alias); 03 May 2007 xx:xx:xx -0000
04: Received: from 72.Red-80-33-126.staticIP.rima-tde.net (HELO
06: by mx0.gmx.net (mx022) with SMTP; 03 May 2007 xx:xx:xx +0200
07: Message-ID: [ID filtered]
08: From: "Joe" <Alyson [at] wanadoo.fr>
09: To: "xxxxxxxxx" <poor [at] spamvictim.tld>
10: Subject: Subjekt:
11: Date: Thu, 3 May 2007 xx:xx:xx +0200
Diesmal über Tecnicos Telefonica de Espana [whois von iks-jena.de (80.32.0.0 - 80.35.255.255)] verschickt; hat jemand eine spanische oder englische Formulierung für solch ein Abuse zu Hand, daß ich an nemesys {at} telefonica.es schicken könnte?
Oder gib es irgendwo vorformulierte "Abuse-Mails", wo man nurnoch den Header mit anfügt in diversen Sprachen?
Gruß, Rava
Malware auf Wind-Systemen besser nicht lokal speichern!
Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!
In diesem Wiki-Artikel steht ganz unten u.a. eine englischsprachige Abuse-Mail an den Provider der versendenden IP-Addresse:
[Link nur für registrierte Mitglieder sichtbar. ]
Bei Telefonica.es sollte man Englisch verstehen. Allerdings hat man da oft den Eindruck, dass die weder Spanisch, Englisch noch irgendwas verstehen. Vermutlich haben die bei den Abertausenden
[Link nur für registrierte Mitglieder sichtbar. ] längst kapituliert. Telefonica.es ist einer der meistverseuchtesten Provider, neben Telecomitalia, Wannadoo.fr, Charter, PacBell, Turktelecom u.a.
Geändert von Goofy (04.05.2007 um 15:00 Uhr)
Goofy
______________________________ Weisheiten des Trullius L. Guficus, 80 v.Chr.:
"Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
"Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
"Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
"Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken
Lesezeichen