PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Jetzt kannst Du mich endlich sehen!



doc33
16.11.2004, 21:54
Es handelt sich um eine html Mail, die angegebene Seite wird zwar geöffnet dort aber sofort 404 angezeigt. Wer keine Firewall hat denkt alles ok, tatsächlich wird ein Trojaner runtergeladen. Irgendwie tippe ich bei dem Versender auf unsern Freund Altmann, auf dieselbe Adresse kam nämlich noch eine Spammail die ziemlich eindeutig von ihm stammt, die header sehen sich sehr ähnlich.
Received: from [220.72.37.112] (helo=220.72.37.112)
by mx30.web.de with esmtp (WEB.DE 4.102 #165)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 17 Nov 2004 xx:xx:xx +0100
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.nsm.com with SMTP; Wed, 17 Nov 2004 xx:xx:xx +0000
Received: from 199.242.39.164 (199.242.39.164[199.242.39.164])
by 220.72.37.112 (IMP) with HTTP
for <poor [at] spamvictim.tld>; Wed, 17 Nov 2004 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Louis" <cizchntsymumss [at] further-education.com>
To: "Stephanie" <poor [at] spamvictim.tld>
Subject: Jetzt kannst Du mich endlich sehen!
Date: Wed, 17 Nov 2004 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 199.242.39.164
Sender: cizchntsymumss [at] further-education.com

Hi!
Habe gerade die Bestaetigung erhalten, dass mein Kontakt-Video bei
Unkin.com veroeffentlicht wurde.
Jetzt kannst Du Dir mein Video ansehen. Am Ende des Videos wird meine
Kontaktadresse veroeffentlicht.
Schau Dir mein privates Kontaktvideo an unter:
http://www.unkin.com
Ja, ich suche noch immer ein reales Date!
Bussi, Laura

Fidul
16.11.2004, 22:21
Bei der Mail würde ich fast auf einen Dialer tippen. Da gab es Viecher, die sich unbemerkt per M$-"Java" installiert haben...
--
Wir kriegen euch alle!

Gool
16.11.2004, 23:22
Die Datei, die dort geladen wird, ist ein Trojaner:
Trojan.ByteVerify (Exploit-ByteVerify [McAfee], Exploit.Java.Bytverify [KAV], JAVA_BYTVERIFY.A [Trend])
Ich will nicht ausschließen, dass durch den Trojaner evtl. ein Dialer installiert werden soll.
--
Fuck the Spammer: http://spam.blueslayah.de

doc33
17.11.2004, 11:54
Scheinbar ist das aber nicht alles, mein Norton hat gestern besagten Trojaner sofort gelöscht und ich dachte damit sei das durch. Heute Morgen als ich den PC eingeschaltet habe löschte Norton aber wieder einen Trojaner der offenbar frisch runtergeladen wurde, schon seltsam. Ich habe mir dann meinen Autostart angesehen und festgestellt das da eine Datei namens Nursrv.exe eingetragen wurde, diese Datei befindet sich im Windows Ordner und wurde exakt zu der Zeit erstellt als ich gestern auf die Seite kam. Löschen kann ich die Datei nicht da sie angeblich gerade benutzt wird oder schreibgeschützt ist (ist aber beides nicht ersichtlich und daher nicht änderbar). Wenn ich sie aus dem Autostart lösche wird sie sofort neu geaddet, in der Registrierung ist die Datei auch 2 mal eingetragen, auch da löschen nützt nichts dort trägt sich sich ebenfalls neu ein.
Also habe ich mich dran gemacht nach dem Dateinamen zu googeln, keine Ergebnisse gefunden. Scheint etwas ganz neues zu sein.
Hat jemand eine Idee wie ich das Ding nun wieder loswerde ohne zu Formatieren?

Tantalus
17.11.2004, 11:59
@doc:
Lad Dir mal das Proggi "Spybot Search & Destroy" runter (ist Freeware), dazu die neuesten Updates (der Link gleich drunter) und schau Dir an, was der so findet.

doc33
17.11.2004, 12:11
Werd ich gleich auch noch machen, die Datei bin ich aber inzwischen doch losgeworden.
Löschen an sich war zwar im ersten Moment unmöglich aber wie ich festgestellt habe konnte man sie umnennen, also .exe weg und die Datei war hilflos http://img.homepagemodules.de/grin.gif.
Danach war auch löschen möglich und auch an allen andern stellen konnte ich das Ding dann entfernen.
Ich würde das ganze nun gern an Symantec (Norton) weiterleiten aber ich finde auf deren Seite nirgendwo eine Mail Adresse an die ich mich dafür wenden kann oder suchen die nur selber?

Tantalus
17.11.2004, 12:26
Hi Doc,
unter Diesem Link
http://securityresponse.symantec.com/region/de/avcenter/
hast Du die Möglichkeit, einen Virus zur Analyse einzusenden.
HTH

Coke1984
17.11.2004, 22:21
Alternativ kann man sowas auch newvirus [at] kaspersky [dot] ru (oder .com) zusenden, die kümmern sich auch darum und lassen einen wissen was man sich da eingefangen hat. Habe dort sehr gute Erfahrungen gemacht (bin Kaspersky-User, ist aber nicht zwingend notwendig), antwort kam innerhalb von 4 Stunden.
---
Rechtschreibfehler dienen der allgemeinen Erheiterung und können zu diesem Zweck gerne gesammelt und archiviert werden.

Fidul
17.11.2004, 23:02
http://www.antivir.de/de/support/verdaec...eien/index.html (http://www.antivir.de/de/support/verdaechtige_dateien/index.html)
--
Wir kriegen euch alle!

ISRT
18.11.2004, 08:26
Moin Moin!
Ich kann folgendes bieten:
Return-Path: <mnaine [at] access-able.com>
Received: from 172.19.20.78 (helo=mxng14.kundenserver.de)
by mqueue.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from [211.178.216.29] (helo=211.178.216.29)
by mxng14.kundenserver.de with esmtp (Exim 3.35 #1)
ID: [ID filtered]
for *******.de; Fri, 19 Nov 2004 xx:xx:xx +0100
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.onn.com with SMTP; Fri, 19 Nov 2004 xx:xx:xx +0000
Received: from 170.129.20.129 (170.129.20.129[170.129.20.129])
by 211.178.216.29 (IMP) with HTTP
for <*******.de>; Fri, 19 Nov 2004 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Andrew" <mnaine [at] access-able.com>
To: "Lucas" <*****.de>
Subject: [SPAM?]: Jetzt kannst Du mich endlich sehen!
Date: Fri, 19 Nov 2004 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 170.129.20.129
Envelope-To: ******.de
X-SpamScore: 1.271
tests= RCVD_NUMERIC_HELO
Ich sollte auch dringend mal auf unkin.com gucken ;-)
Der Typ hat sich hier: http://www.20six.de/-/weblogEntry/19eaycyphd789.htm
auch in einen Blog eingetragen, mit etwas verändertem Text.
Dort möchte er auf folgende URL locken: http://212.68.65.69/tool/dialer/index.php?dialerID=201
Dialer passt also...

TL
Christian

doc33
18.11.2004, 10:40
Bei mir ging es direkt auf die unkin Seite und dort wartete dann eben der Trojaner Kram.
Thx für die vielen Links wo ich es nun hinchicken kann, bisher habe ich es an Symantec gesendet und warte auf Antwort von deren Analyse, kann aber leider bis zu 1 Woche dauern http://img.homepagemodules.de/frown.gif

Gool
29.11.2004, 17:31
Die Woche ist vorbei - hat es was ergeben?
--
Fuck the Spammer: http://spam.blueslayah.de

doc33
09.01.2005, 10:49
Bei Symantec dauert eine Woche scheinbar etwas länger als bei allen anderen. Gestern erhielt ich nun endlich eine Antwort, ich geb hier aber mal nur das wichtigste wieder.

Wir haben ihre Sendung analysiert. Nachfolgend finden Sie einen Bericht
über jede Datei, die Sie an uns übermittelt haben:
filename: C:WINDOWS
ursrv.exe
machine: PC
result: This file is infected with PWSteal.Banker.B
C:WINDOWS
ursrv.exe is non-repairable threat. Please delete this file and replace it if necessary. Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.
Symantec Security Response hat festgestellt, dass die eingesandte Virenprobe mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist.Wir haben Beta-Definitionen entwickelt, die diese Bedrohung erkennen.Folgen Sie den Anweisungen am Ende dieser E-Mail-Nachricht, und installieren Sie die neuesten Beta-Definitionen.
Anweisungen zum Herunterladen und zur Installation der Beta-Definitionen:
1. Öffnen Sie Ihren Web-Browser. Wenn Sie mit einer Wählverbindung arbeiten, stellen Sie eine Verbindung zu einer beliebigen Website her, beispielsweise: http://securityresponse.symantec.com/
2. Klicken Sie auf diesen Link zur FTP-Site: ftp://ftp.symantec.com/public/english_us...easedefsi32.exe (ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe). Falls die Site nicht aufgerufen wird (bei einer langsamen Internet-Verbindung kann dies einige Minuten dauern), kopieren Sie die Adresse, und fügen Sie sie in die Adressleiste Ihres Web-Browsers ein. Drücken Sie anschließend die Eingabetaste.
3. Wenn ein Download-Dialogfeld angezeigt wird, speichern Sie die Datei auf dem Windows-Desktop.
4. Doppelklicken Sie auf die heruntergeladene Datei, und folgen Sie den eingeblendeten Anweisungen.