Ergebnis 1 bis 8 von 8

Thema: [Trojaner!]Nero Produkttester gesucht!!

  1. #1
    Mitglied Avatar von SpamRam
    Registriert seit
    11.09.2005
    Beiträge
    910

    Standard [Trojaner!]Nero Produkttester gesucht!!


    header:
    01: Return-Path: <support [at] nero-ag.de>
    02: X-Flags: 1000
    03: Delivered-To: GMX delivery to SpamRam
    04: Received: (qmail invoked by alias); 26 Jul 2008 xx:xx:xx -0000
    05: Received: from mo-p05-ob.rzone.de (EHLO mo-p05-ob.rzone.de) [81.169.146.181]
    06: by mx0.gmx.net (mx078) with SMTP; 26 Jul 2008 xx:xx:xx +0200
    07: X-RZG-CLASS-ID: [ID filtered]
    08: X-RZG-AUTH: :L2MKYUGrb9+s7Ys+/C6cdNboKaxR22vZQHQdVrAQaXAdx/yatqsyfBsUK0w=
    09: Received: from [192.168.10.100] ([89.248.108.111])
    10: by post.webmailer.de (mrclete mo51) (RZmta 16.47)
    11: with ESMTP ID: [ID filtered]
    12: Sat, 26 Jul 2008 xx:xx:xx +0200 (MEST)
    13: (envelope-from: <poor [at] spamvictim.tld>)
    14: Date: Sat, 26 Jul 2008 xx:xx:xx +0200
    15: Mime-version: 1.0
    16: Subject: [Info] Nero Produkttester gesucht!!
    17: From: =?ISO-8859-1?Q?Carsten_Völkner?= <support [at] nero-ag.de>
    18: To: <SpamRam>
    19: Message-ID: [ID filtered]
    20: Original-recipient: rfc822;SpamRam
    Sehr geehrte Nutzer,

    wir freuen uns ihnen mitteilen zu können, das Sie an der Betaphase unseres neuen Produkts begrüßen zu dürfen.
    Die neue Version 8.6.0.1 steht kurz vor der Veröffentlichung und mit ihrer Hilfe erhoffen wir uns eine Stabilere
    und schnellere Version als die Vorgänger auf den Markt zu bringen. Was Sie tun müssen ist das neue Nero
    ausgiebig zu testen, und uns jegliche Fehler in einem kurzen Text zu schildern. Für ihre mühe erhalten Sie
    nach dem Beta test ein Vollversion für ein Jahr inkl. aller kommenden Updates.

    Haben wir ihr Interesse geweckt dann installieren Sie einfach das neue Nero über unseren Webinstaller
    und nutzen bitte folgende Benutzerdaten:

    Username: Nerotester5687
    Passwort: kiwahe57
    Alle weiteren Instruktionen die Sie zur Installation benötigen wird ihn dann bequem bei der Installation mitgeteilt.

    So nun wünschen wir Ihnen viel Spaßbeim testen
    Ihr Nero Burning Rom Team

    © 2008 Nero AG / Nero Inc. / Nero K.K. / Nero Ltd. All rights reserved.
    Der Anhang ist ein ZIP-Archiv mit dem Namen nero.webinstaller.zip

    Dahinter verbirgt sich ein Trojaner, AVIRA ist noch mit der Analyse beschäftigt.

    Die Domain whois: [Link nur für registrierte Mitglieder sichtbar. ] ist bei SEDO geparkt, Halter ist eine Firma mit deutschem Namen mit der Adresse:
    Panama City World Trade Centre, Calle 53, Marbella
    in Panama (gibt es in Panama auch ein Marbella?)

    Admin-C ist eine A.S. in 50672 Köln, Kaiser-Wilhelm-Ring 27-29

    Testergebnis von Avira folgt!
    Forum-Statistik: 80%: 100x dieselbe Frage! Kaum einer liest, bevor er fragt! 10% zu faul, selbst zu suchen, oder man liest "leudz, lol, oO" und vokalloses SMS-Gestammel. => 90% Ausschuss. 10% helfen weiter, Schreiber hat überlegt, was er schreibt und Rechtschreibung geprüft. Traumhaft :-). [(M.Goldmann, gekürzt, Internet Professionell 4/07)]
    Die deutsche Sprache ist Freeware, jeder darf sie kostenlos nutzen. Sie ist jedoch nicht OpenSource und eigenmächtige Veränderungen sind nicht gestattet.

  2. #2
    Mitglied Avatar von SpamRam
    Registriert seit
    11.09.2005
    Beiträge
    910

    Standard

    Hier kommt das Analyse-Ergebnis von Avira:
    Datei: nero.webinstaller.exe MALWARE
    Die Datei 'nero.webinstaller.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/PSW.Steam.EQ gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, das in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.
    Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.
    Obwohl das Zeug schon einige Tage bei mir im Posteingang lag, scheint das etwas Neues zu sein.
    Geändert von SpamRam (01.08.2008 um 13:38 Uhr) Grund: Rechtschreibfehler im Quote korrigiert.
    Forum-Statistik: 80%: 100x dieselbe Frage! Kaum einer liest, bevor er fragt! 10% zu faul, selbst zu suchen, oder man liest "leudz, lol, oO" und vokalloses SMS-Gestammel. => 90% Ausschuss. 10% helfen weiter, Schreiber hat überlegt, was er schreibt und Rechtschreibung geprüft. Traumhaft :-). [(M.Goldmann, gekürzt, Internet Professionell 4/07)]
    Die deutsche Sprache ist Freeware, jeder darf sie kostenlos nutzen. Sie ist jedoch nicht OpenSource und eigenmächtige Veränderungen sind nicht gestattet.

  3. #3
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.821

    Standard

    Auffallend ist in letzter Zeit, dass besonders Webseitenbetreiber solche Spams erhalten.

    Das geht m.E. synchron mit den Storm-Trojaner-Attacken, wo die Trojaner zur Zeit oft auf gehackten Webmaster-Accounts gehostet werden.

    Zuerst mal suchen sich die Russkis wohl alle möglichen Domains mitsamt den dazugehörigen Mailadressen der "Registrants" raus, weil die oft auch gleichzeitig die Webmaster sind.

    An diese e-Mailadressen der Webmaster schicken die Russkis Trojaner in immer wieder unterschiedlicher Form, jeden Tag neue Varianten, die dann von den Virenscannern oft nicht gefunden werden.
    Beispiel: dieses Angebot zum Betatest einer angeblichen neuen Nero-Version. Dürfte wohl viele Webmaster tatsächlich ansprechen.
    Die Russkis haben ja dazugelernt und schicken an Webmaster eher nicht die einfallslosen "Britney_naked.exe" -Anhänge.

    Wenn der Webmaster jetzt auf den Anhang klickt, installiert sich der Trojaner. Es wird eine Backdoor geöffnet, außerdem vermutlich ein keylogger installiert, der den Zeitpunkt abpasst, wo der Webmaster sich am ftp-Account seines Webservers einloggen will, um neuen Content upzuloaden.
    In dem Moment phisht der Trojaner im Hintergrund die Accountdaten für diesen Webmaster-Zugang ab und schickt die an seinen Master nach Russland.

    Jetzt hat Spamski wieder mal einen neuen Webserverzugang eines nichtsahnenden Webmasters, wo er im Prinzip von Phishing, Viagra-Spam, Viren, Trojanern, KIPO etc. alles hosten kann, was er will.

    Er stellt jetzt z.B. seine Dateien mit dem Storm-Trojaner dort drauf und spammt dann massenweise z.B. mit: "UPS-Ihr Paket konnte nicht zugestellt werden. Details bitte auf dieser Webseite einsehen: ..."
    mit Link auf den verseuchten Server, wo dann der Trojaner lauert.

    Damit erweitert Spamski dann wieder sein Botnetz um neue Opfer, um seinen Vi@@grrrraaaaaa-Spam abzusetzen. Vielleicht steht die Viagra-Seite dann ebenfalls auf dem verseuchten Server.

    Wird einer vom Hoster abgeschaltet: macht nix, Spamski hat gleich 5 andere in Reserve. Per DynDNS im Minutentakt austauschbar.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  4. #4
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    Vielleicht auch [Link nur für registrierte Mitglieder sichtbar. ]
    Quod non est in litteris, non est in munde.

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    9.604

    Standard

    Zitat Zitat von actro Beitrag anzeigen
    Vielleicht auch [Link nur für registrierte Mitglieder sichtbar. ]
    Genau das meinte ja Goofy....

    - kjz
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Mitglied Avatar von SpamRam
    Registriert seit
    11.09.2005
    Beiträge
    910

    Standard

    Ich hatte auch SEDO informiert, dass über eine bei ihnen geparkte Domain Spam mit Malware verschickt wird. Die Antwort fand ich ganz interessant:
    > > vielen Dank für Ihre Nachricht.
    > >
    > > Leider erhalten wir als Anbieter von Parkingdienstleistungen immer
    > > wieder Anfragen wie die Ihre. Jedoch ergibt sich auch nach eingehender
    > > Prüfung der Fälle immer wieder dasselbe Bild hinsichtlich des
    > > Verfassers und Versenders der erhaltenen Spam: die Absenderkennung
    > > wird meist verfälscht und hat mit dem eigentlichen Inhaber der Domain
    > > nichts zu tun.
    > >
    > > Spricht man den Inhaber der Domain darauf an, fällt der aus allen
    > > Wolken, weil ihm nicht bewusst war, dass in seinem Namen derlei
    > > Nachrichten versendet werden. Oft wurde die dazugehörige Domain erst
    > > in jüngster Vergangenheit erworben - natürlich in dem Glauben, die
    > > Domain habe eine "reine Weste".
    > >
    Das heißt doch: Tut uns leid, wir tun da mal lieber nichts. Was meinen die Experten, kann man da wirklich nichts tun?
    Forum-Statistik: 80%: 100x dieselbe Frage! Kaum einer liest, bevor er fragt! 10% zu faul, selbst zu suchen, oder man liest "leudz, lol, oO" und vokalloses SMS-Gestammel. => 90% Ausschuss. 10% helfen weiter, Schreiber hat überlegt, was er schreibt und Rechtschreibung geprüft. Traumhaft :-). [(M.Goldmann, gekürzt, Internet Professionell 4/07)]
    Die deutsche Sprache ist Freeware, jeder darf sie kostenlos nutzen. Sie ist jedoch nicht OpenSource und eigenmächtige Veränderungen sind nicht gestattet.

  7. #7
    Mitglied
    Registriert seit
    16.07.2005
    Ort
    Ludwigshafen/Rhein
    Beiträge
    452

    Standard

    Ich denke der Support bei SEDO war etwas überfordert und hat halt die
    Standardantwort genommen die unter "SPAM" zu finden war.

    Vielleicht versuchst Du es nochmal und lässt einfach das Wort Spam weg.

    Z.B.

    Die bei SEDO geparkte Domain whois: [Link nur für registrierte Mitglieder sichtbar. ] verbreitet
    den Trojaner TR/PSW.Steam.EQ .
    Bitte stellen Sie das umgehend ab.

    Und evtl. die Nero AG - whois: [Link nur für registrierte Mitglieder sichtbar. ] informieren das SEDO nichts macht.

    Die werden ja Markenrechte auf NERO haben und SEDO bestimmt ans Bein pinkeln.
    :D

  8. #8
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.405

    Standard

    Es ist überhaupt nicht gesagt, daß die Domain etwas mit der Malware-Mail zu tun hat. Absender lassen sich bekanntlich leicht fälschen und in diesem Fall kam der Dreck aus Spanien (89.248.108.111) über Strato rein.
    Wir kriegen euch alle!

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen