Moin Moin @ll,

Endlich hat sich mal ein Trojaner in mein Spamordner verlaufen:

Deutsche Post. Sie mussen eine Postsendung abholen

Lieber Kunde, <BR>
<BR>
Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen. <BR>
Grund: Ein Fehler in der Leiferanschrift. <BR>
Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen. <BR>
Anbei finden Sie einen Postetikett. <BR>
Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen. <BR>
<BR>
Vielen Dank! <BR>
Deutsche Post AG. <BR>

Klartext:

Code: Alles auswählenAufklappen

ATTFilter

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; sender-id=softfail (sender IP is 209.217.235.4) header.from=beistand@deutschepost.de; dkim=none header.d=deutschepost.de; x-hmca=fail
X-SID-PRA: beistand@deutschepost.de
X-DKIM-Result: None
X-Message-Status: n:0:n
X-SID-Result: SoftFail
X-AUTH-Result: FAIL
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD00
X-Message-Info: 11chDOWqoTn6qaaX8/11KWriMdZnbyby5NC32Pdq1s/ZJ4NDuLLJEvKAipYywHVKW2wL4immki8rS/wZWF5ZPe1f9YeUdP0M6AoB8CjyirBD7R1shhB6723rHknlHMlApXwaK4kBrb8=
Received: from win5.nswebhost.com ([209.217.235.4]) by SNT0-MC1-F31.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
	 Fri, 8 Jun 2012 02:48:42 -0700
Received: from nswebhos-6nol66 ([127.0.0.1]) by win5.nswebhost.com with MailEnable ESMTP; Fri, 8 Jun 2012 05:48:09 -0400
Date: Fri, 08 Jun 2012 05:48:09 -0400
Subject: Deutsche Post. Sie mussen eine Postsendung abholen
To: xxxxxxxx@hotmail.de
From: "Deutsche Post" <beistand@deutschepost.de>
X-Mailer: GoingNuts55.3
Reply-To: "Deutsche Post" <beistand@deutschepost.de>
Mime-Version: 1.0
Content-Type:multipart/mixed;boundary="----------13391488894FD1CA5933F10"
Message-ID: <1DC35F8ABF38400BBCCE271FD0618BA2.MAI@win5.nswebhost.com>
Return-Path: info@win5.nswebhost.com
X-OriginalArrivalTime: 08 Jun 2012 09:48:42.0372 (UTC) FILETIME=[E36FFC40:01CD455B]


------------13391488894FD1CA5933F10
Content-Type:text/html;
Content-Transfer-Encoding: 8bit

Lieber Kunde, <BR>
<BR>
Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen. <BR>
Grund: Ein Fehler in der Leiferanschrift. <BR>
Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen. <BR>
Anbei finden Sie einen Postetikett. <BR>
Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen. <BR>
<BR>
Vielen Dank! <BR>
Deutsche Post AG. <BR>

------------13391488894FD1CA5933F10
Content-Type: application/octet-stream;name="Postetikett_id50456DE.zip"
Content-Transfer-Encoding:base64
Content-Disposition:attachment;filename="Postetikett_id50456DE.zip"
         

Ganz Interessant ist die E-Mail Adresse, die fast echt ausschaut:

Code: Alles auswählenAufklappen

ATTFilter

beistand@deutschepost.de
         

Virus sende ich nachher zu markusg

MfG

Peter

Du hast den Anhang aber nicht geöffnet?

Nein nur die Zip Datei, um sie zu Scannen.
Davon mal ab, kann ich nur mit Wine .exe Dateien ausführen.

Des weiteren, wird die Deutsche Post niemals solche E-Mails versenden.
Sondern wenn Schriftstücke unzustellbar sind, werden diese an den Absender zurück geschickt.

Das sollte man doch wissen.


MfG

Peter

Zitat:

Davon mal ab, kann ich nur mit Wine .exe Dateien ausführen.

Davon mal ab steht genau wo, dass du kein Windows verwendest?

Zitat:

Das sollte man doch wissen.

Ja, sollte man, dennoch sind hier hunderte Anfragen und ähnliche Hilfeschreie wegen des Verschlüsselungstrojaners

Zitat:

Zitat von cosinus

Davon mal ab steht genau wo, dass du kein Windows verwendest? :rolleyes

Naja in der Signatur steht es eigendlich ^^
Ändere sie nachher noch mal um.

Zitat:

Zitat von cosinus

Ja, sollte man, dennoch sind hier hunderte Anfragen und ähnliche Hilfeschreie wegen des Verschlüsselungstrojaners

Ja das muß ich leider auch in diversen Foren lesen. Erschreckend.

MfG

Peter

Zitat:

Naja in der Signatur steht es eigendlich ^^
Ändere sie nachher noch mal um.

Hm, in deinem ersten Beitrag wird die Signatur nicht angezeigt

Zitat:

Ja das muß ich leider auch in diversen Foren lesen. Erschreckend.

Nicht weniger erschreckend ist die gesamte Fehlerkette

1.) kaum ein Virenscanner erkennt die neue Ransomware
2.) Leute lassen sich zu schnell täuschen, bei hohen Forderungen u.ä. setzt der Verstand schnell aus, ob wohl die Rechungen frei erfunden sind
3.) kaum einer macht "wasserdichte" Backups
4.) Warum lese ich außer hier im TB und in einigen anderen Fachforen fast nichts über diese Schädlingswelle? Fast keiner warnt davor, dagegen haben es recht harmlose Vertreter wie damals der Loveletter oder auch Netzwerkwürmer wie Blaster/Sasser es quasi sofort in alle Nachrichten geschafft

Moin Arne,

Stimmt, im ersten Post ist keine Signatur

Und ja, es stimmt auch, das über die neue Schädlingswelle nichts in den Massenmedien zu sehen/hören ist.
Wenn man mal Akte TV außer acht läßt. Aber selbst da wird kaum noch darüber berichtet.
Eigentlich wurden die Verhaltensregeln auch dort schon 1.000.000.000 mal durchgekaut.

Viel schlimmer finde ich die Leute, die behaupten ein Eingeschränktes Benutzerkonto sei bei Windows Blödsinn und Schwachsinnig. Das könne man ja mit der UAC/AUC (oder wie das unter Win heißt) Regeln.
Und diese Leute stempeln einen dann noch zum Idioten ab, wenn ich denen sage das die sich mit der Aussage "Eingeschränkte Benutzerkonten sein Blödsinn" zum Vollhorst machen, die Aussage Brandgefährlich ist und die sich mal mit einen Verifizierten Windows Admin unterhalten sollten.

Solche Möchtegern Windows Admins in den Foren sind die größte Gefahr, da diese Menschen DAUS eine Sicherheit vorgaukeln, die so nicht gegeben ist.


MfG

Peter

Ja, das ständige "ich will Admin sein" unter Windows ist eine Unsitte, aber eingeschränkte Rechte helfen hier beim Verschlüsselungstrojaner nicht so richtig. Der verschlüsselt alles, wo auch der eingeschränkte User Schreibrechte hat

Ja das ist Richtig Arne,

Dennoch kann der Trojaner nicht so viel Schaden anrichten, wie als wenn ich den als Admin ausführen würde.

Alles andere ist Lehrgeld ^^

MfG

Peter

Naja, für viele ist der Schaden "alle persönlichen Dateien zerwürfelt" schon der worst case
Das System kann dieser Trojaner ohne Adminrechte nicht kompromittieren, aber die Benutzerdateien hat er ja verschlüsselt.

Eingeschränkte Rechte helfen wie gesagt nur bedingt

Ja da muß ich Dir ja recht geben

Sag mal, habt ihr das Sample, was ich Euch zukommen lassen habe, schon Analysiert?

MfG

Peter

Weiß ich nicht, ich bekomme die Mails nicht, sondern Markus
Wenn ich Zugriff auf deine Samples habel soll, dann lad sie hier hoch => Trojaner-Board Upload Channel