Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 11

Thema: [UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

  1. #1
    Mitglied
    Registriert seit
    18.07.2005
    Ort
    Bad Salzuflen
    Beiträge
    394

    Standard [UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    Das hier kam einmal gestern, einmal heute:
    Gestern:
    Return-path: < [Link nur für registrierte Mitglieder sichtbar. ]>
    Envelope-to: [Link nur für registrierte Mitglieder sichtbar. ]
    Delivery-date: Tue, 06 May 2003 21:58:27 +0200
    Received: from [217.131.91.167] (helo=ommo.net)
    by mxng15.kundenserver.de with smtp (Exim 3.35 #1)
    id 19D8Zu-0004NP-00; Tue, 06 May 2003 21:58:21 +0200
    From: " [Link nur für registrierte Mitglieder sichtbar. ]" < [Link nur für registrierte Mitglieder sichtbar. ]>
    To: [Link nur für registrierte Mitglieder sichtbar. ]
    Date: Tue, 6 May 2003 22:56:41 +0300
    Subject: Firstunion Bank Account : Forgot Your Login name Password
    X-Mailer: Microsoft Outlook Express 5.00.2919.7000
    MIME-Version: 1.0
    Content-Type: text/html; charset="us-ascii"
    Content-Transfer-Encoding: quoted-printable
    Message-Id: < [Link nur für registrierte Mitglieder sichtbar. ]>
    Heute:
    Return-path: < [Link nur für registrierte Mitglieder sichtbar. ]>
    Envelope-to: [Link nur für registrierte Mitglieder sichtbar. ]
    Delivery-date: Wed, 07 May 2003 01:47:15 +0200
    Received: from [217.131.91.167] (helo=ommo.net)
    by mxng08.kundenserver.de with smtp (Exim 3.35 #1)
    id 19DC9M-0008FJ-00; Wed, 07 May 2003 01:47:09 +0200
    From: " [Link nur für registrierte Mitglieder sichtbar. ]" < [Link nur für registrierte Mitglieder sichtbar. ]>
    To: [Link nur für registrierte Mitglieder sichtbar. ]
    Date: Wed, 7 May 2003 02:45:20 +0300
    Subject: Firstunion Bank Account : Forgot Your Login name Password
    X-Mailer: Microsoft Outlook Express 5.00.2919.7000
    MIME-Version: 1.0
    Content-Type: text/html; charset="us-ascii"
    Content-Transfer-Encoding: quoted-printable
    Message-Id: < [Link nur für registrierte Mitglieder sichtbar. ]>
    In beiden Headern steht hinter "Envelope-to" meine Adresse, hinter "To:" jeweils eine andere. Was bedeutet das konkret?
    Der Inhalt der Mail sah übrigens in beiden Fällen so aus (das meiste war HTML):
    >
    Forgot Your Login ACCES NUMBER - PIN - CODEWORD

    Hi Robert Rizzo Forgotten Your Login Name or Password ;

    Bank Number : 78545512
    PIN : 7780
    Codeword : 2180
    "banklogin.exe"


    CUSTOMER BANK NUMBER


    PIN


    CODEWORD


    BANK SELECTION
    Online Banking Online BillPay Online Brokerage


    Login

    Beworbene Links: [Link nur für registrierte Mitglieder sichtbar. ]
    [Link nur für registrierte Mitglieder sichtbar. ]
    Bei wem darf ich mich denn jetzt alles beschweren?



  2. #2
    Houser
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    interessantes Ding, installiert einen eigenen HTTP Proxy, der dann eine Website vorspiegelt,
    mit angeblichem ICQ ...
    Kann leider nicht türkisch ... HOSTHABER.COM TURKISH HOSTING FORUM
    HOSTING SIRKETLERININ VE WEBMASTERLERIN BULUSMA NOKTASI
    was ich noch gefunden habe:
    Im system32 Verzeichnis findet sich eine txt Datei "windll32.txt"
    https://www.firstunion.com/NASApp/perime...resentLogin&url=%2FNASApp%2Fseamlessrouterservice%2Frouter
    Acces Number : 78545512
    PIN : 7780
    Codeword : 2180
    interesting: hat bei mir http://www.xupiter.com/toolbar2/ in den IE eingetragen ...
    Ich hab mir das Ding mal lieber nicht installiert, ist wohl ein dialer, auf jeden Fall wird eine "default" Verbindung eingerichtet. Sieht aber nicht ungefährlich aus - Trojaner ?
    ist übrigens nicht mit upx gepackt, genau wie der neue irpa dialer, hmm neuer exe packer - ich schau mal welcher :)


  3. #3
    Houser
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    Da schau her :) Ihr mögt nicht schlecht sein, wir sind besser ...
    *tataaaa* (Trommelwirbel)
    der von der Dialermafia neu verwendete Exe Packer ist ...
    (Schweigen im Publikum)
    ASPack
    http://www.aspack.com/
    (klatschen, stehende Ovationen)
    und es wird noch besser
    (ungläubiges Staunen)
    Den Unpacker gibt es unter ...
    (aufforderndes Klatschen)
    http://www.exetools.com/files/unpack...packdie13d.zip
    (Ein Tumult bricht los)


  4. #4
    andyho
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    Hmmm, aber nicht so richtig - denn das ausgepackte ist kleiner als das Original (ok, das kann bei einem schlechten Packer oder was schon gepacktem auch mal passieren), und die ICQ-Webseite, die in dem Original noch im Hexeditor zu sehen war, ist auch nicht mehr drin.



  5. #5
    Houser
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    hab ich von da http://www.exetools.com/unpackers.htm
    Stimmt - mal einen der anderen antesten - gibt ja genug :)
    Die 1.3d Version funzt, das Mistvieh ist gleich zweimal gepackt.
    Ha, ich werde noch zum Hacker ;)
    Die Site ist auch nett:
    http://unpack.cjb.net/



  6. #6
    Houser
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    Mir ist immer noch nicht so ganz klar, was das Ding eigentlich so anstellt ...
    Sieht mir mehr nach Trojaner/Multispyware aus. Man Siehe http://www.doxdesk.com/parasite/Xupiter.html
    Und hier ist auch die Verbindung zu SPAM http://www.wired.com/news/infostructure/0,1377,57553,00.html
    Im %systemroot%system32 Verzeichnis legt es eine win_32dll.exe und einen win32.dll.txt an, Inhalt:
    https://www.firstunion.com/NASApp/perime...resentLogin&url=%2FNASApp%2Fseamlessrouterservice%2Frouter
    Acces Number : 78545512
    PIN : 7780
    Codeword : 2180&yuml;&yuml;&yuml;
    Weiterhin scheint es einige Programme zu Installieren:
    Aus dem Registry Run key:
    Weather: c:programmeweather.exe /q
    WhenUSave: c:programmesavesave.exe
    XUPITERcfgloader:: c:programmexupiterxtcfgloader.exe
    XUPITER: :programmexupiterxupiterstartup2003.exe

    [HKEY_CURRENT_USERSoftwareWhenUWeather]
    "InstallDir"="C:\Programme\WeatherCast"
    "Version"="1.50"
    "about_url"="http://spweb.whenu.com/about_weather.html"
    "checkver_url"="http://spapp.whenu.com/WeatherDB"
    "update_url"="http://spweb.whenu.com/weatherupdate.exe"
    "exitsurvey_url"="http://web.whenu.com/uninstall_weather.html"
    "userFontStyle"="0"
    "nagSequence"="4"
    "nag1_url"="http://app.whenu.com/WthrPrefs?mode=nt&nid=1"
    "nag2_url"="http://app.whenu.com/WthrPrefs?mode=nt&nid=2"
    "nag3_url"="http://app.whenu.com/WthrPrefs?mode=nt&nid=3"
    "nag4_url"="http://app.whenu.com/WthrPrefs?mode=nt&nid=4"
    "Partner"="CAST9999"
    "LastPartner"="CAST9999"
    "InstallTime"="20030507184855"
    "timeHeartbeat"="20030507164855"
    "nagCount"="1"
    "timeLastNag"="20030507184855"
    "nagTiming"="0;500000;500000"
    indows Registry Editor Version 5.00
    [HKEY_CURRENT_USERSoftwareXupiter]
    "ACCEPT"="FALSE"
    "Installation Folder"="C:\Programme\Xupiter\"
    "XupiterVersion"="Toolbar + WebAssistant"
    "ToolbarUninstalled"="FALSE"
    "WebAssistantUninstalled"="FALSE"
    "Homepage"="http://www.heise.de/newsticker"
    "SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
    "CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
    "Check CFG At"="05/08/2003 18:10:13"
    "Check Updates At"="05/08/2003 18:20:13"
    "Update2003"="FALSE"
    "OLD_SEARCH_HOOKS_CURRENT"="{CFBFAE00-17A6-11D0-99CB-00C04FD64497}|"
    "Updates List"="XTUpdate.dll|XTSearch.dll|XupiterToolbar.dll|"
    "IE Activity"="05/08/2003 09:59:46"
    Dear SAVE! User -
    SAVE! is a program that brings you relevant offers and tells you about great deals and similar sites when you surf the web. It is our strict policy to distribute SAVE! only to users who have accepted the SAVE! license agreement.
    SAVE! is installed on your computer as a module that comes with WhenUShop or other software that you downloaded from the Internet. At that time, you accepted a SAVE! license agreement as part of the download process you completed. - If you believe you have received SAVE! without accepting the license agreement, please let us know at legal@whenu.com.
    There are a vast number of great offers and services available on the Internet. In addition, we negotiate a number of exclusive offers to maximize value for our users. SAVE!`s goal is to show users information about these offers and services - right at the moment when they need it. For example, if you go to a job search site, we might show you an offer for Hotjobs - which is right now offering great value to users that post resumes at their site. If you go to Staples, you might see an offer for a $30 off coupon that will save you money when you shop there. We show these offers infrequently so as not to be intrusive.
    SAVE! strictly protects user privacy in the following manner:
    * Personally identifiable information is NOT required in order to use the software
    * WhenU.com does NOT transmit URLS visited by the user to WhenU.com or any third-party server
    * WhenU.com does NOT assemble personally-identifiable browsing profiles of users
    * WhenU.com does NOT assemble machine-identifiable browsing profiles of users
    * WhenU.com does NOT track which ads and offers are seen or clicked on by individual machines
    SAVE! is NOT spyware - there is no persistent communication between your desktop computer and our servers. Users have noted that the program contacts our servers every once in a while - it does so in order to retrieve content from us and store that content on your computer, to make it available to you at the right moment. There is one daily communication sent just to let us know that the software is functioning - nothing more (i.e. no collection of browsing history, etc). The desktop application checks for the presence of new browser windows every 3 seconds - which results in sustained (but very low) CPU usage.
    Typically, data sent to the desktop is done in very small chunks of less than 4K - hardly noticeable. Upon installation, there will be some bandwidth usage as the initial content database is loaded - this is a one-time event. Very infrequently, there might be a sustained burst of data sent to the desktop - this would only be done if we: updated the desktop software itself (which we do from time to time to improve performance) or if we updated the entire content database. Again, these are one-time events - the application does NOT use bandwidth on a sustained basis. The software takes up only slightly more RAM than your IE browser control uses in any case (it shares RAM with it) and is designed to be non-intrusive and non-invasive.
    If you want to uninstall SAVE!, you can do so through the add/remove function in your control panel. Of course we encourage you to leave it on so that you can benefit from the occasional offers that it shows you. If you need more information, or experience any technical problems, please contact us at techsupport@whenu.com. We look forward to hearing from you.


  7. #7
    andyho
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    Also bei mir hat der Virenscanner die win_32dll.exe direkt abgefangen und unschädlich gemacht...



  8. #8
    Houser
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    nun, ich habe hier einen Testrechner, der mit einem X-over Kabel an einer Liunx Kiste dranhängt :)
    Ohne Virenschutz & Co. aber mit Filemon und Regmon, so dass ich sehe wohin und wie sich die Dialer installieren.
    Hab das Ding mal an Symantec geschickt ...


  9. #9
    Houser
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    Habe die Bank informiert: Tracking Number : 025909-127




  10. #10
    Houser
    Gast

    Standard RE:[UBE / Dialer] Firstunion Bank Account : Forgot Your Login name Password

    Thank you for contacting First Union/Wachovia.
    We have received your message and a Service Representative will be
    contacting you within one business day by email. If you have a lost or
    stolen debit card or checks, please contact us by phone immediately. If
    you have questions or concerns that require immediate resolution, please
    contact (800) 275-3862. Overseas customers, please call collect at (540)
    561-9203. Representatives are available 24 hours a day, seven days a week
    to assist you.
    This is an auto-acknowledgment confirming the receipt of your message.

    Note: First Union and Wachovia have merged, and soon we will be able to
    serve all your financial needs under the Wachovia name.
    We are now in the process of combining our banking services on a
    state-by-state basis. By the third quarter of 2003, when this process is
    complete, you will see the new Wachovia logo on your Financial Centers, Web
    site, and other services you may use.
    In the meantime, during this transition period, you may receive
    communications that carry the existing First Union or Wachovia logo as we
    move to the new Wachovia brand.
    We look forward to serving you as one company, and to bringing you the best
    that both First Union and Wachovia have to offer. Thank you for banking
    with us.
    ---
    Ich habe auch mit denen telefoniert und die auf das Problem hingewiesen :)


Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Antworten: 0
    Letzter Beitrag: 11.03.2005, 18:47
  2. Huntington Bank AIert: Unauthorized Login Attempts [Fri, 21 Jan 2005 14:49:17 -0
    Von oliveer im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 3
    Letzter Beitrag: 25.01.2005, 19:27
  3. [CapitalOne] Capital One Bank Notification - Unauthorized Account Access
    Von mindphlux im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 0
    Letzter Beitrag: 22.09.2004, 09:32
  4. Antworten: 0
    Letzter Beitrag: 01.06.2004, 18:59

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen