PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Windows XP Professional + Office XP Professional



Goofy
18.08.2005, 12:46
Jetzt fangen die Spammer an, die beworbenen URLs in ein exe-file zu verpacken. Beworben wurden Software-Raubkopien, angehängt war eine Datei "smgxun.exe". Virenscan ohne Resultat. Da ich mich nicht traue, die Datei zu starten, habe ich sie mit einem hex-Editor geöffnet und dabei eine Domain gefunden, die allerdings momentan nicht aktiv ist. Was die Datei tatsächlich anstellt, kann ich nicht nachvollziehen.


Return-Path: <3heung-do [at] acay.com.au>
Received: from 200.37.219.109 ([200.37.219.109]) by mailin19.sul.t-online.de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: Arbenz Castillo <3heung-do [at] acay.com.au>
To: -------------------
Subject: =?iso-8859-1?B?......----
Date: Thu, 18 Aug 2005 00:02:-- +0000
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_.........."
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-TOI-SPAM: u;0;2005-08-18T01:---
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false


Spam-html:


Loads of cool soft at incredibly low prices
Windows XP Professional + Office XP Professional as low as FREE!
Look our ADVERTISMENT and USE FREE SOFT
The stock is limited
The offer is valID: [ID filtered]
Hurry!
Details in ATTACHMENT.

homer
18.08.2005, 12:49
Jetzt fangen die Spammer an, die beworbenen URLs in ein exe-file zu verpacken. Beworben wurden Software-Raubkopien, angehängt war eine Datei "smgxun.exe". Virenscan ohne Resultat. Da ich mich nicht traue, die Datei zu starten, habe ich sie mit einem hex-Editor geöffnet und dabei eine Domain gefunden, die allerdings momentan nicht aktiv ist.
War die exe nicht UPX-gepackt? Meine schon (http://www.antispam-ev.de/forum/showthread.php?p=41779), und ich konnte sie nicht entpacken, ausser durch Ausführen. Und das will ich mal schön unterlassen, nachdem kein Virenscanner was gefunden hat.

Goofy
18.08.2005, 13:14
Offensichtlich ist sie wohl UPX-gepackt. Trotzdem lässt sie sich mit WINHEX lesen.

Goofy
18.08.2005, 20:06
Nachtrag:
Es handelt sich um einen Trojaner, s.a. den Thread hier (http://www.antispam-ev.de/forum/showthread.php?t=8858)
Wer eine solche Mail mit einer derartigen exe-Anlage bekommen hat: auf keinen Fall ausführen. Der Trojaner ist noch neu, nicht alle Virenprogramme erkennen ihn momentan.
You have been warned...