Received: from xmtz (18.251.149.39) by host04.net-dns.biz; Tue, 2 Oct 2012 06:15:12 -0300
// Adressbereich des Massachusetts Institute of Technology (MIT) in den USA
Date: Tue, 2 Oct 2012 06:15:12 -0300
From: <4929765@meine.schufa.de>
Subject: SCHUFA Holding AG N.327816

Wir informieren Sie hiermit, dass Ihr Schufa-Status sich geandert hat.
im Anhang finden Sie die gewunschten Informationen als PDF-Datei.

Mit freundlichen Grussen

Ihr Verbraucherservice-Team
der SCHUFA Holding AG

Hinweis:
Dies ist eine automatisch versendete Nachricht.
Bitte antworten Sie nicht auf diese Nachricht, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.
SCHUFA Holding AG -- HRB 12286 -- Amtsgericht Wiesbaden -- Sitz Wiesbaden Vorsitzender des Aufsichtsrates:
Theophil Graband -- Vorstand: Dr. Michael Freytag (Vorsitzender), Holger Severitt, Peter Villa

Dateianlagen: SCHUFA_Holding_AG.pdf

//---------------Kurzanalyse-------------------
- vermutlich Ausnutzung einer LibTIFF Lücke
- Ablegen von Dateien im Filesystem
- wird erst von 2- 3 Virenscannern erkannt (Virustotal)
- Nachladen von weiterem Schadcode aus externen Quellen:
hxxp://rigleycm.co.uk/evie/images/close.exe (Server in England)
hxxp://perfectsyringe.com/_derived/_vti_cnf/nortbots.exe (Server in Spanien)
- auch bei diesen Trojanern Erkennungsrate bei 2- 3 Virenscannern
(Virustotal)

hi leite mir die mail mal weiter bitte.
sowie alle, die solche nachichten erhalten

da ist auf jeden fall trojan.bublick dabei aber näheres kann man erst sagen wenn man es komplet hatt

Zitat:

Zitat von markusg

da ist auf jeden fall trojan.bublick dabei aber näheres kann man erst sagen wenn man es komplet hatt

So eine Email habe ich auch bekommen (blöderweise habe ich das .pdf geöffnet ). Die Email ist bei Web.de. Wenn ich wüsste, wie ich sie als .eml speichere, könnte ich sie euch schicken.

hab dir per pm geantwortet.

Hei Markus,

habe dir eben per Mail an deine Virus- Adresse was geschickt.
(1) Schufa_Holding_AG_Vir.zip (269,3 K)
(2) SCHUFA Holding AG N.327816.zip (11,6 K)
Punkt 1 ist die Kurzanalyse mit dem PDF und dem nachgeladenen Virus,
Punkt 2 ist die Original Mail

Auf Malwr.com gibt es eine Kurzanalyse zum nachgeladenen Virus:
Malwr - Analysis of c2e3169b0600844ec0cc8c53b4bae56f
(ist aber nicht sehr umfangreich, sollte man evtl. mal auf Anubis hochladen ?!)

Mit freundlichem Gruß
JP

Zitat:

Zitat von JPatzer

Punkt 1 ist die Kurzanalyse mit dem PDF und dem nachgeladenen Virus,

Auf Malwr.com gibt es eine Kurzanalyse zum nachgeladenen Virus:

Die Datei habe ich blöderweise mit Foxit geöffnet.

Sofort nach dem Öffnen der Datei habe ich gemerkt, dass dieses wohl keine so gute Idee war.

Wegen des möglichen Problems mit meinem PC habe ich einen eigenen Thread erstellt:

http://www.trojaner-board.de/125111-...-trojaner.html

Zitat:

Zitat von JPatzer

//---------------Kurzanalyse-------------------
- Ablegen von Dateien im Filesystem

- Nachladen von weiterem Schadcode aus externen Quellen:

Wegen deines Kommentars habe ich meinen PC durchsucht, ob zu dem Zeitpunkt des Öffnens des .pdf Dokuments irgendwelche Dateien neu erstellt wurden.

Das war allerdings nicht der Fall.

Aus begründetem Anlass interessiert es mich nun, ob mein PC mit einem Trojaner belastet ist.

Hei Apropos,

da in dem PDF Script die Version des Readers abgefragt wird, denke ich, das bei dir nichts ausgeführt wurde (Versionen zwischen Acrobat und Foxit zu unterschiedlich).
Außerdem sind die Routinen in beiden Produkten trotz gleicher Funktionen doch unterschiedlich (oder sollten es sein ==> Urheberrecht).
Könnte also sein, dass bei dir nichts passiert ist.
Ansonsten hast du recht, Avira erkennt den immer noch nicht !
https://www.virustotal.com/file/087c6d19d6f4690b7cae2ec7c1c88e47bc9cd1143f32e7986ae008a47a6902bf/analysis/

Könntest es höchstens mit einem Online Scanner versuchen ....

Habe nochmal geschaut, wie es beim nachgeladenen Trojaner aussieht, den erkennt Avira jetzt aber !!!
https://www.virustotal.com/file/497912e0bf066d74bd0c6c04675686fc110670f0096b913f463a7ad73afb7202/analysis/
Sollte ein Voll Scan mit Avira zwar das PDF anmeckern aber sonst nichts finden, kannst du beruhigt sein !
Viel Glück ;-)

Zitat:

Zitat von JPatzer

Könntest es höchstens mit einem Online Scanner versuchen ....

Wie geht mit dem Onlinescanner bzw. welchen lohnt es sich, auszuprobieren?

Zitat:

Zitat von JPatzer

Habe nochmal geschaut, wie es beim nachgeladenen Trojaner aussieht, den erkennt Avira jetzt aber !!!
https://www.virustotal.com/file/497912e0bf066d74bd0c6c04675686fc110670f0096b913f463a7ad73afb7202/analysis/

Das probiere ich sofort aus!

Vielen Dank für deine Antwort.

hi eröffne, wie ichs dir schon 3 mal gesagt hab, ein thema im bereich plagegeister, dort lies für alle hilfesuchenen und halte dich an den thread.
dieses unterforum ist nicht für log analysen, sondern ein diskusions forum :-)

Zitat:

Zitat von markusg

hi

Vielen Dank für Deine Mithilfe

Zitat:

Zitat von markusg

eröffne, wie ichs dir schon 3 mal gesagt hab

Diese Aussage hat für mich nur begrenzten Charme... .

Einen Thread habe ich erstellt, möglicherweise im falschen Unterforum - einen weiteren möchte ich nicht erstellen - vielleicht wird er in das passende Forum verschoben.

Zitat:

Zitat von markusg

dieses unterforum ist nicht für log analysen, sondern ein diskusions forum :-)

Na ja, derzeit diskutiere ich mit

Ansonsten melde ich mich im anderen Thread, nur hat dort leider noch niemand geantwortet.