PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : "Hallo" - CryptoCode



Wuschel_MUC
15.02.2019, 10:36
Return-Path: <vtlachi00 [at] citymail.cuny.edu>
Delivered-To: m1000166381
Received: from frontend04 ([127.0.0.1])
by backend01-a.mail.m-online.net with LMTP ID: [ID filtered]
for <m1000166381>; Fri, 15 Feb 2019 xx:xx:xx +0100
Received: from mail.m-online.net ([127.0.0.1])
by frontend04 with LMTP ID: [ID filtered]
; Fri, 15 Feb 2019 xx:xx:xx +0100
Received: from scanner-5.m-online.net (unknown [192.168.6.86])
by mail.m-online.net (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Fri, 15 Feb 2019 xx:xx:xx +0100 (CET)
X-Virus-Scanned: by amavisd-new at mnet-online.de
X-Spam-Flag: YES
X-Spam-Score: 5.483
X-Spam-Level: *****
X-Spam-Status: Yes, score=5.483 tagged_above=0 required=5 tests=[BAYES_50=0.8,
DKIMWL_WL_MED=-0.001, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
HTML_FONT_SIZE_HUGE=0.001, HTML_MESSAGE=0.001,
RCVD_IN_BL_SPAMCOP_NET=1.347, RCVD_IN_SBL_CSS=3.335,
SPF_HELO_PASS=-0.001, URIBL_BLOCKED=0.001]
autolearn=no autolearn_force=no
Authentication-Results: scanner-5.mail.m-online.net (amavisd-new);
dkim=pass (1024-bit key) header.d=ccnymailcuny.onmicrosoft.com
Received: from mxin-1.m-online.net ([192.168.6.164])
by scanner-5.m-online.net (scanner-5.mail.m-online.net [192.168.6.86]) (amavisd-new, port 10026)
with ESMTP ID: [ID filtered]
Fri, 15 Feb 2019 xx:xx:xx +0100 (CET)
Received: from NAM02-CY1-obe.outbound.protection.outlook.com (mail-eopbgr760053.outbound.protection.outlook.com [40.107.76.53])
by mxin-1.m-online.net (Postfix) with ESMTPS ID: [ID filtered]
for <poor [at] spamvictim.tld>; Fri, 15 Feb 2019 xx:xx:xx +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=ccnymailcuny.onmicrosoft.com; s=selector1-citymail-cuny-edu;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=Fh2kANclQmdAFDLvMqzaPbMExFUqFBgvkY2g9K3Vcz0=;
b=Z1CS9Af+1fH5CfqAC0BqiJpoocJUrMnj/zOtyijMbolbrWe6OIy5WwEbCaxv6iuHGgWICcTxH5MzMuGRD9UDCcPVIlg6437ifGuJTaFdCRbKK1Ce0 Qhcpd472xF84BQ698gYtDHYfswgzTPIh5VDlqhUBj1laI7VHgcn+I/Ucdo=
Received: from SN6PR04MB4128.namprd04.prod.outlook.com (52.135.71.22) by
SN6PR04MB3983.namprd04.prod.outlook.com (52.135.82.24) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.1622.16; Fri, 15 Feb 2019 xx:xx:xx +0000
Received: from SN6PR04MB4128.namprd04.prod.outlook.com
([fe80::ccba:1c48:c47a:ecde]) by SN6PR04MB4128.namprd04.prod.outlook.com
([fe80::ccba:1c48:c47a:ecde%2]) with mapi ID: [ID filtered]
xx:xx:xx +0000
From: "vtlachi00 [at] citymail.cuny.edu" <vtlachi00 [at] citymail.cuny.edu>
To: Turan Fettahoglu <poor [at] spamvictim.tld>
Subject: =?utf-8?B?SGFsbG8g8J+RjQ==?=
Thread-Topic: =?utf-8?B?SGFsbG8g8J+RjQ==?=
Thread-Index: [filtered]
Date: Fri, 15 Feb 2019 xx:xx:xx +0000
Message-ID: [ID filtered]
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-clientproxiedby: LO2P265CA0119.GBRP265.PROD.OUTLOOK.COM
(2603:10a6:600:c::35) To SN6PR04MB4128.namprd04.prod.outlook.com
(2603:10b6:805:2f::22)
authentication-results: spf=none (sender IP is )
smtp.mailfrom=vtlachi00 [at] citymail.cuny.edu;
x-ms-exchange-messagesentrepresentingtype: 1
x-originating-ip: [149.255.214.138]
x-ms-publictraffictype: Email
x-ms-office365-filtering-correlation-ID: [ID filtered]
x-microsoft-antispam:
BCL:0;PCL:0;RULEID:(2390118)(7020095)(4652040)(8989299)(5600110)(711020)(4605077 )(4534185)(4627221)(201703031133081)(201702281549075)(8990200)(2017052603328)(71 53060)(7193020);SRVR:SN6PR04MB3983;
x-ms-traffictypediagnostic: SN6PR04MB3983:
x-ms-exchange-purlcount: 1
x-microsoft-exchange-diagnostics:
=?utf-8?B?MTtTTjZQUjA0TUIzOTgzOzIzOmorTnRPbGtCUTdVdFlyYlU2bTNmQ1QwRUl2?=
=?utf-8?B?NlVmVmN2NjFLMVE2MDlIcDMxb0VUMStQUzdZdU80VVluMldFc3lXaGdWS3B1?=
=?utf-8?B?UkZHKzVicE1tWnNCLzBwRmkyQVFsSndvQXJzZm5RS3JyUVZjZndtRnFkaXpw?=
=?utf-8?B?cnpUYm5iblg1ZEt1ekZ2YzhyYkhTWlA0amRYdlpTZ0dYcnRwUytUNXZOVllq?=
=?utf-8?B?OElyTXUwck5rTENRRnNLTGdwei96TEs1MjViZEdneldvZTlzUG93RXpCOTdo?=
=?utf-8?B?aXRqUnRTNjlkOG5SUE9rYXErWGZpVzE4a09zeVJpTXlMWDdXRERXRFE0dkhu?=
=?utf-8?B?dFpVbCtDb1FjdGhGWTlOTUEwUGZpQ3NoU2lQS2FHMXVjWStEMTM1N1NPcG8r?=
=?utf-8?B?SU9HSGJPNEJTdk8yYjBDUzI5MWZLaFg4L3NuS3ZuZ1d1NTZMWTJYWng1b1Zk?=
=?utf-8?B?TVVrN2grd1B1Snl6RGMzekptM0w3QVJENHVkdkVYTXhxNy96MkNuMlU0RUNN?=
=?utf-8?B?cXFGd1VEM1ZjWWdJTTcvZnZrNStrQW9EYnNsVUUzZUZmakRVSEdaNExodnJy?=
=?utf-8?B?L1Qzd3BtVkNvb0FoY3JpOGNma1kxU1gvdkZSbkswMS9NQ2Q3alhnSHJlemtO?=
=?utf-8?B?QlFzZm91VWVwTlNBaWdQSWF6WUNKMldoS2QzVVdwWjNsODdBODl6Q1dSc3JJ?=
=?utf-8?B?M1pkOTEyWkcwUm1KTW1DU2J2OHR6T0krd01kVnQrYXRDekFsdS9aNUt3ekU2?=
=?utf-8?B?ako2aHVFaCtucnlmVW5UU29ldlhpeVFlZlJpdEd1SEpicGFGV0lnakhHVUNh?=
=?utf-8?B?YkpSOStUNFRvelJwZHJQMDZxNlVWT3hxcWsySmk5YnVZeUhaWDNrbnU0WitP?=
=?utf-8?B?eHFwWWNmQzBhTm8yZW5SV0RVVGJuam1oekRzZ012am9zdjY5cWpObEw1ZkJi?=
=?utf-8?B?QTRVUW15cmZwd1BDUEV3a1E2bXhDZVFTelpwSU0rRnNBd285LzZkM2w3RHFU?=
=?utf-8?B?NFJHdUs4dkRaV1FlSjRxYWtrVmVzbzdiR3VzWDZDZVk2ZDhJcUpMQVFJc0dJ?=
=?utf-8?B?SEhsaEpWUzAwZzRTY0RHdUhnVEJJai9xNEpkYThob0NkQ0hJa2JWZjJaT2VL?=
=?utf-8?B?NnppTkY2ZVdVcGpXNmU5akN3TGZBMjc5ZkJWTWtHalk2TDBoYWpyUGlVRGgr?=
=?utf-8?B?RHhpbThxaTRyNHhLd2ZzTktPN3pTWEU2VzhEU1oxeDVJU0FHUlF2LzdxRC9K?=
=?utf-8?B?WFBHSDBZdDUwZXovWU93ajlaMjAvMENweWpxQ0FqWXdTNFVoMnp0ODNzUXc4?=
=?utf-8?B?czBXSDVFcWlLRmVtNVAxZjZIWnFrRkFuK0JXaUZlOXo0QlFiUURyZkNNS0Zl?=
=?utf-8?B?NlVsN2d3TVdsNWdheUdyOFRDVlJkZG83UjhDSWJmMmQ3N1pISzhxQkRQa2F2?=
=?utf-8?B?SE4ybUIvd1J6YW82eHpvMUx2K1JBeG10NTFoNkFsVTkveGpLSGhLSGtGWHI1?=
=?utf-8?B?ak8yb3FMeE5iZjd1ZHgyVTVDRW1HQXBzNUQvcktIb0RBcTQ5eDIyYTBqWTBx?=
=?utf-8?B?V0VZc2s4OUZMdy9tYlZZQkFCR1dGMlF1THZjankrdnM0cFdwT29tRDRBVzRV?=
=?utf-8?B?RkJudFZKRWYzUmJmVHRjeGJjb01iNkJUSUlrZS9sQjc1WnpwcDdZK2xkWFJ1?=
=?utf-8?B?ZWtobkhVWk9PYWIwdUlGSEg5cW9qVHpFUlUvNzBsSm5UVE9RYkM1QWNKbUFJ?=
=?utf-8?B?OG51Y0tYejRKeTV6a2wvdz09?=
x-microsoft-antispam-prvs:
<SN6PR04MB3983756864E615E3CB2B040EEC600 [at] SN6PR04MB3983.namprd04.prod.outlook.com>
x-forefront-prvs: 09497C15EB
x-forefront-antispam-report:
SFV:NSPM;SFS:(10009020)(376002)(396003)(346002)(136003)(39860400002)(366004)(189 003)(199004)(186003)(26005)(3846002)(6116002)(316002)(786003)(386003)(6506007)(4 78600001)(86582002)(102836004)(86362001)(256004)(606006)(99286004)(2906002)(8855 2002)(8936002)(81156014)(81166006)(14454004)(52116002)(7116003)(7736002)(6486002 )(53936002)(82746002)(97736004)(66066001)(68736007)(33656002)(6916009)(83716004) (3480700005)(25786009)(71200400001)(71190400001)(105586002)(19627405001)(1063560 01)(6436002)(53946003)(54896002)(6306002)(236005)(6512007)(105004)(476003)(48600 6)(2616005)(75432002);DIR:OUT;SFP:1101;SCL:1;SRVR:SN6PR04MB3983;H:SN6PR04MB4128. namprd04.prod.outlook.com;FPR:;SPF:None;PTR:InfoNoRecords;MX:1;A:0;
received-spf: None (protection.outlook.com: citymail.cuny.edu does not
designate permitted sender hosts)
x-ms-exchange-senderadcheck: 1
x-microsoft-antispam-message-info:
ic7TzWkf4gSyFpABCfi7AgrXE3JJ+eOn0lo/7+82WZx9RWwBv5JVYwnVXIgg/mP2adxGljyFYy5ctfLgFgNdWSUgrOKNn+wGn7OzxYUaEpnSbVD5d+AX6+dxRc7fXkZU/wCXu4Sv8XtsO6kZO/GGr0ZN0FrZ1GBpqlMNbxy16J0JewziYoYizTuwMWs9U9Fso5fZ1R/Xx8fOBvxgehtNedkqxGHbLUJMaTDrUAJ7Xmf52Hitcn3eI0w+rVYHMrky5AH+Zj/u4oaR46tU0eKuhdkLvqPwuy9/IQR9AlixTih8VYRV7lMDSPrOSUjvp/NTueQ1a7uZq0VI/oe/g5mh0FiF/lOw/Dmu4mDqdBjAccRf70bqoKk3SymdpFYmr3NorX7hY5C+uWgUufph1gxiDlrRuVX5T2+0JwpSC03DFZ8=
Content-Type: multipart/alternative;
boundary="_000_542DF5142F004D81BABFDAE1A30DE243citymailcunyedu_"
MIME-Version: 1.0
X-OriginatorOrg: citymail.cuny.edu
X-MS-Exchange-CrossTenant-Network-Message-ID: [ID filtered]
X-MS-Exchange-CrossTenant-originalarrivaltime: 15 Feb 2019 xx:xx:xx.1557
(UTC)
X-MS-Exchange-CrossTenant-fromentityheader: Hosted
X-MS-Exchange-CrossTenant-mailboxtype: HOSTED
X-MS-Exchange-CrossTenant-ID: [ID filtered]
X-MS-Exchange-Transport-CrossTenantHeadersStamped: SN6PR04MB3983

--_000_542DF5142F004D81BABFDAE1A30DE243citymailcunyedu_
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: base64
- Hieroglyphen gekürzt -
V2VubiBlcyBuaWNodCBrb3JyZWt0IGFuZ2V6...gfX0NCg0K

--_000_542DF5142F004D81BABFDAE1A30DE243citymailcunyedu_
Content-Type: text/html; charset="utf-8"
Content-ID: [ID filtered]
Content-Transfer-Encoding: base64

- Hieroglyphen gekürzt:
PGh0bWw+DQo8aGVhZD4NCjxtZXRhIGh0dH...0bWw+DQo=
--_000_542DF5142F004D81BABFDAE1A30DE243citymailcunyedu_--


Es wurde Crypto-Code beworben. Virenscanner und Spamfilter schlugen nicht an. Habe die Mail an Avira und McAfee weitergeleitet.

Beim Verschieben der Mail in den Outlook-Spamordner war für einen Moment ein DOS-Fenster zu sehen. Kann die Mail ohne Anklicken von irgendetwas ein Schadprogramm gestartet haben?

Wuschel

schara56
15.02.2019, 11:20
...] Beim Verschieben der Mail in den Outlook-Spamordner war für einen Moment ein DOS-Fenster zu sehen. [...Welches Betriebssystem?
Bei Windows 10 würde ich auf usoclient.exe (Update Orchestrator) tippen.
Das hätte aber nichts mit der Spam zu tun.

Wuschel_MUC
15.02.2019, 12:02
Welches Betriebssystem?
Bei Windows 10 würde ich auf usoclient.exe (Update Orchestrator) tippen.
Das hätte aber nichts mit der Spam zu tun.
Gibt es das auch schon in Windows 8.1?

Wuschel

schara56
15.02.2019, 12:40
Gibt es das auch schon in Windows 8.1? [...Negativ.
Evtl. solltest Du Deinen Rechner per Desinfec't (https://www.heise.de/download/product/desinfect-71642) mal scannen lassen.

Wuschel_MUC
15.02.2019, 14:01
Evtl. solltest Du Deinen Rechner per Desinfec't (https://www.antispam-ev.de/forum/redirector.php?url=https%3A%2F%2Fwww.heise.de%2Fdownload%2Fproduct%2Fdesinfect-71642) mal scannen lassen.
Desinfect soll schon zu schwarzen Bildschirmen und Schlimmerem geführt haben. Habe jetzt den ESET-Online-Scanner laufen lassen. Er wurde ein paarmal fündig. Es scheint sich jedoch schlimmstenfalls um Reklameware in heruntergeladener Gratis-Software zu handeln.

Was ist ärgerlicher: McAfee, der Reklameware nicht angemeckert hat oder ESET mit mehrfach blindem Alarm?

truelife
15.02.2019, 14:41
McAfee. Ganz klar. Lieber zuviel Alarm, als gar keinen.

Schau auch nochmal per AdwCleander über dein System: https://www.heise.de/download/product/adwcleaner-91313

Nebelwolf †
15.02.2019, 15:53
Desinfec't wird vom USB-Stick gestartet und verändert nichts an Deinem Windows-System. Nach dem Scan kannst Du Dateien umbenennen, die das System gefunden hat. Die werden dann unter Windows nicht mehr gestartet. Mehr macht Desinfec't nicht, aber das macht das System so nützlich.

Nebelwolf

ps. Virenscanner sind in meinen Augen überflüssig, die Signatur-Updates kommen regelmäßig nach den Schadprogrammen an. Sinnvoll ist das Blockieren aktiver Inhalte im Browser durch Skript- und Adblocker, der eMail-Client sollte im Nur-Text-Modus arbeiten, und den Office-Pakete sollten keine Skripte ausführen. Dann ist der Rechner kaum noch angreifbar.

Wuschel_MUC
15.02.2019, 17:36
@Truelife:

Der Adware-Cleaner hat ein paar Registrierungen gefunden, aber auch ein paar falsch-positive Befunde.

Wuschel