8
UPS Services delivery(at)ups.com - Trojaner -
Guten Morgen!
Ich habe mich heute morgen noch leicht Schlaf-trunken an meinen Rechner gesetzt, meine emails abgerufen und da war dann diese email mit folgendem Text:
Unfortunately we failed to deliver the package which was sent on the 24th of July in time
because the recipient’s address is erroneous.
Please print out the invoice copy attached and collect the package at our office.
United Parcel Service.
Na ja, ich erwarte tatsächlich einige Lieferungen. Diese Bemerkung ist bitte nur als unzureichender und hilfloser Versuch zu begreifen, der erklären soll,
dass ich folgende Handlung unternommen habe. Also ich war wirklich noch umnachtet, habe noch keinen Kaffee getrunken:
Ich habe den Anhang geöffnete, also nicht nur das: der Anhang war eine RAR-Datei: Your UPS-ED71.zip
Diese Datei habe ich entpackt, sehenden Auges eine exe Datei erkannt und auf diese habe ich dann
auch noch zwei mal geklickt.
Nach kurzer Recherche
http://www.zielpublikum.de/2009/06/24/ups-delivery-problem-viruswarnung ...
ist also klar dass es sich um Schadsoftware handelt die zum grössten Teil auch von den
Virenscannern nicht erkannt wird. Ich habe die rar-Datei, die 147 Byte gross ist, noch einmal
von meinem Webmail-Account heruntergeladen, und diese entpackt. Die entpackte exe-Datei
ist 0 Byte gross, also entweder schon von meinem email-Provider gesäubert worden oder es
handelt sich um einen rafinierten Trojaner.
Ich habe dann mal die Systemwiederherstellung benutzt und den Rechner auf den gestrigen Tag
zurückgesetzt.
Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Ich habe mich heute morgen noch leicht Schlaf-trunken an meinen Rechner gesetzt, meine emails abgerufen und da war dann diese email mit folgendem Text:
Unfortunately we failed to deliver the package which was sent on the 24th of July in time
because the recipient’s address is erroneous.
Please print out the invoice copy attached and collect the package at our office.
United Parcel Service.
Na ja, ich erwarte tatsächlich einige Lieferungen. Diese Bemerkung ist bitte nur als unzureichender und hilfloser Versuch zu begreifen, der erklären soll,
dass ich folgende Handlung unternommen habe. Also ich war wirklich noch umnachtet, habe noch keinen Kaffee getrunken:
Ich habe den Anhang geöffnete, also nicht nur das: der Anhang war eine RAR-Datei: Your UPS-ED71.zip
Diese Datei habe ich entpackt, sehenden Auges eine exe Datei erkannt und auf diese habe ich dann
auch noch zwei mal geklickt.
Nach kurzer Recherche
http://www.zielpublikum.de/2009/06/24/ups-delivery-problem-viruswarnung ...
ist also klar dass es sich um Schadsoftware handelt die zum grössten Teil auch von den
Virenscannern nicht erkannt wird. Ich habe die rar-Datei, die 147 Byte gross ist, noch einmal
von meinem Webmail-Account heruntergeladen, und diese entpackt. Die entpackte exe-Datei
ist 0 Byte gross, also entweder schon von meinem email-Provider gesäubert worden oder es
handelt sich um einen rafinierten Trojaner.
Ich habe dann mal die Systemwiederherstellung benutzt und den Rechner auf den gestrigen Tag
zurückgesetzt.
Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126687
Url: https://administrator.de/contentid/126687
Ausgedruckt am: 24.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Beste und sicherste Lösung: Format C: und neu installieren.
lg,
Slainte
Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Damit hast Du die Kernpunkte schon selbst erkannt.kompromitiert ist?
Beste und sicherste Lösung: Format C: und neu installieren.
lg,
Slainte
Hallo zusammen,
@SlainteMhath: Format C: *g* lang ist es her, dass das mal funktioniert hat
Eine Neuinstallation dauert ein wenig lang.
Alternative:
Netzwerkkabel abziehen. 2-3 Tage warten, bis die Virendefinitionen bei den Antivirenherstellern integriert sind.
Bei Avira die RescueCD herunterladen und brennen. (Natürlich auf einem anderen Rechner, als dem infizierten!)
Von der BootCD starten. Einstellungen ändern, so dass infizierte Dateien umbenannt werden, wenn Sie gefunden werden.
Fertig.
LG Markus
@SlainteMhath: Format C: *g* lang ist es her, dass das mal funktioniert hat
Eine Neuinstallation dauert ein wenig lang.
Alternative:
Netzwerkkabel abziehen. 2-3 Tage warten, bis die Virendefinitionen bei den Antivirenherstellern integriert sind.
Bei Avira die RescueCD herunterladen und brennen. (Natürlich auf einem anderen Rechner, als dem infizierten!)
Von der BootCD starten. Einstellungen ändern, so dass infizierte Dateien umbenannt werden, wenn Sie gefunden werden.
Fertig.
LG Markus
Moin,
und was machst du wenn der Virus in den Definitionen nicht erkannt wird? Oder wenn der in der Zwischenzeit schon noch ne andere Backdoor geöffnet hat die bisher nicht bekannt ist?
Bei sowas würde ich auch immer auf Nummer Sicher gehen - und den rechner neu aufsetzen... Und sorry, aber wer heute noch solche Fehler macht der sollte sich in der Zeit der Neuinstallation auch nochmal Gedanken um seinen Umgang mit Emails usw. machen (und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...)
und was machst du wenn der Virus in den Definitionen nicht erkannt wird? Oder wenn der in der Zwischenzeit schon noch ne andere Backdoor geöffnet hat die bisher nicht bekannt ist?
Bei sowas würde ich auch immer auf Nummer Sicher gehen - und den rechner neu aufsetzen... Und sorry, aber wer heute noch solche Fehler macht der sollte sich in der Zeit der Neuinstallation auch nochmal Gedanken um seinen Umgang mit Emails usw. machen (und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...)
Stimme Dir zu Maretz... eine Installation wäre die "sauberste" Alternative.
Es ist aber auch kein Problem, diese "verdächtige" Zip Datei mit der "noch verdächtigeren EXE-Datei" bei AVIRA zu melden:
http://analysis.avira.com/samples/index.php
Eine Backdoor kann nicht geöffnet werden, sofern Verbindung zu Internet anliegt. (Mal den Fall ausgenommen, dass der Trojaner alle anderen ausführbaren Dateien auf dem System befällt...)
Nach spätestens 2-3 Stunden (!) bekommt man eine E-Mail von Avira über den Status innerhalb der VDF Datei. Nach spätestens 24 Stunden ist dann die "verdächtige Datei" auch im Rescue System. Somit ist der Rechner auch (zumindest von dieser) Schadsoftware zu befreien.
Full Ack zu der obigen Aussage!
Gruß
Markus
Es ist aber auch kein Problem, diese "verdächtige" Zip Datei mit der "noch verdächtigeren EXE-Datei" bei AVIRA zu melden:
http://analysis.avira.com/samples/index.php
Eine Backdoor kann nicht geöffnet werden, sofern Verbindung zu Internet anliegt. (Mal den Fall ausgenommen, dass der Trojaner alle anderen ausführbaren Dateien auf dem System befällt...)
Nach spätestens 2-3 Stunden (!) bekommt man eine E-Mail von Avira über den Status innerhalb der VDF Datei. Nach spätestens 24 Stunden ist dann die "verdächtige Datei" auch im Rescue System. Somit ist der Rechner auch (zumindest von dieser) Schadsoftware zu befreien.
und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...
Full Ack zu der obigen Aussage!
Gruß
Markus
Danke erst mal für die Anteilnahme
Warum die exe durchgekommen ist kann ich euch sagen: ich habe avast nicht entsprechend konfiguriert!
Die RAR-Datei habe ich bei
http://www.virustotal.com/de/
hochgeladen. Alle Ergebnisse waren negativ, es wurde kein Virus/Backdoor erkannt.
Was mich interessieren würde ist folgendes:
Die RAR-Datei ist 147 Byte gross. Die entpackte exe jedoch 0 Byte.
Kann das jemand kommentieren?
@maretz: ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft. Nur heute morgen war ich wohl noch nicht ganz auf der Höhe.
auf den xp Rechnern die ich hinter einem Nat-Router nutze läuft mindestens die Sygate Firewall die ich sehr gut finde,
sowie Winpatrol und wenn genug RAM da ist auch noch TeaTimer um Veränderungen in der Registriy zu bemerken
Warum die exe durchgekommen ist kann ich euch sagen: ich habe avast nicht entsprechend konfiguriert!
Die RAR-Datei habe ich bei
http://www.virustotal.com/de/
hochgeladen. Alle Ergebnisse waren negativ, es wurde kein Virus/Backdoor erkannt.
Was mich interessieren würde ist folgendes:
Die RAR-Datei ist 147 Byte gross. Die entpackte exe jedoch 0 Byte.
Kann das jemand kommentieren?
@maretz: ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft. Nur heute morgen war ich wohl noch nicht ganz auf der Höhe.
auf den xp Rechnern die ich hinter einem Nat-Router nutze läuft mindestens die Sygate Firewall die ich sehr gut finde,
sowie Winpatrol und wenn genug RAM da ist auch noch TeaTimer um Veränderungen in der Registriy zu bemerken
Ich habe die RAR eben zu avira hochgeladen und folgendes Ergebniss zurückbekommen:
Dateiname Ergebnis
Your_UPS_ed71.exe KNOWN CLEAN
Die Datei 'Your_UPS_ed71.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microworld Technologies mailscan administrator 4.0.1.0' ist.
Dateiname Ergebnis
Your_UPS_ed71.exe KNOWN CLEAN
Die Datei 'Your_UPS_ed71.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microworld Technologies mailscan administrator 4.0.1.0' ist.
Moin,
also das in dem RAR Archiv bzw. in der 0 Byte "großen" EXE kein Virus (mehr) drin ist hätte ich Dir auch so sagen können - der wurde augenscheinlich schon von dem Hoster deines Webmail Accounts gesäubert.
lg,
Slainte
also das in dem RAR Archiv bzw. in der 0 Byte "großen" EXE kein Virus (mehr) drin ist hätte ich Dir auch so sagen können - der wurde augenscheinlich schon von dem Hoster deines Webmail Accounts gesäubert.
ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft
Hmmm.. ooook ...Sygate Firewall ... Winpatrol ... TeaTimer ...
Äh, ja, und wie siehts mit Vitrenscannern aus?lg,
Slainte
Moin!
ich nutze Avast. Und in regelmäßigen Abständen scanne ich mein System mit einem Rootkitscanner (RootkitRevealer) wobei ich zugeben muss daß ich die Ergebnisse nicht immer
richtig zu deuten vermag.
Viele Grüsse
northern
ich nutze Avast. Und in regelmäßigen Abständen scanne ich mein System mit einem Rootkitscanner (RootkitRevealer) wobei ich zugeben muss daß ich die Ergebnisse nicht immer
richtig zu deuten vermag.
Viele Grüsse
northern
