Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum
Spam: ist mir wurst

Spam: ist mir wurst


Diskussionsforum: Spam: ist mir wurst

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 01.06.2016, 20:51   #1
markusg
/// Malware-holic
 
Spam: ist mir wurst - Standard

Spam: ist mir wurst


ist mir Wurst:



Wer eine Mail mit dem Betreff
Code:
ATTFilter
ist mir Wurst:
Erhält, sollte diese an uns weiterleiten.

From
Code:
ATTFilter
Peter Kellerhals canhsatpccc@quangninh.gov.vn
Code:
ATTFilter
13Dstirtex@tin.it
Weiterhin wird im Header auf folgene Organisation hingewiesen:
Sovereign Bancorp Inc.
Diese gibt es heute so nicht mehr, gehört zur Santander Group.
Betreff: ist mir Wurst:


Code:
ATTFilter
So, jetzt ist es soweit.
Sie wurde entlarvt.
Den Chat siehst du angehдngt.
Sie ist eine echte Nutte.
Was meinst du? Wird er sie nach dieser ScheiЯe verlassen?
Nachdem was sie uns angetan hat, denke ich, dass wir etwas von ihr verlangen sollten,
damit wir still sind. Aber nach einer Weile senden wir ihm den Chat trotzdem ;)
Sag mir, was du dazu sagst, wenn du das hier bekommen hast./CODE]
Es hängt an:
log (7).zip, Rund 2KB groß, Entpackt ist die Datei an die 5 KB.
Gutscheincode_id_8598.js
Virustotal Ergebniss des enthaltenen Javascript files:
SHA256:<br />
6511540875d65915ecf955eed535168380c6b1bd9a7e554816d9be47d29099a4
https://virustotal.com/de/file/65115...is/1464797786/
Dateiname:
Gutscheincode_id_8598.js
Erkennungsrate:
Arcabit
HEUR.JS.Trojan.ba
20160601
Avira (no cloud)
HTML/ExpKit.Gen6
20160601
Cyren
JS/Nemucod.BB1!Eldorado
20160601
ESET-NOD32
JS/TrojanDownloader.Nemucod.AAP
20160601
F-Prot
JS/Nemucod.BB1!Eldorado
20160601
Fortinet
JS/Nemucod.46F4!tr.dldr
20160601
Kaspersky
HEUR:Trojan-Downloader.Script.Generic
20160601
McAfee
JS/Nemucod.ho
20160601
McAfee-GW-Edition
JS/Nemucod.ho
20160601
Rising
Downloader.Nemucod!8.34-38VivY4IqgM (Cloud)
20160601
Sophos
JS/DwnLdr-NLV
20160601
Symantec
JS.Downloader

Es handelt sich hierbei um ein codiertes Javascript
die Malware verbindet zu:
Code:
ATTFilter
103.208.86.18/3105.exe
Virustotal Ergebniss der nachgeladenen EXE-Datei::
SHA256:
25e830aa008e88c8f5cd2414b567b0968254630cb545bf41e7f0d70b96923abd
https://virustotal.com/de/file/25e83...is/1464798571/
Dateiname:
3105.exe
Erkennungsrate:
AVG
Inject3.ASKB
20160601
AhnLab-V3
Trojan/Win32.Cerber
20160601
DrWeb
Trojan.Encoder.4691
20160601
ESET-NOD32
a variant of Win32/Injector.CZMD
20160601
Kaspersky
UDS:DangerousObject.Multi.Generic
20160601
Malwarebytes
Ransom.Cerber
20160601
McAfee-GW-Edition
BehavesLike.Win32.Trojan.cc
20160601
Qihoo-360
HEUR/QVM42.1.Malware.Gen

Es handelt sich hierbei um Cerber Ransomware
Folgene Autostart Einträge werden erstellt:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
dnscacheugc
C:\Users\x\AppData\Roaming\{933B2DF9-3F58-70A5-D4CA-6137BA3AE2B1}\dnscacheugc.exe
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\\RunOnce
dnscacheugc
C:\Users\x\AppData\Roaming\{933B2DF9-3F58-70A5-D4CA-6137BA3AE2B1}\dnscacheugc.exe
die Malware verbindet zu:
cerberhhyed5frqa.amdeu5.win/d6d7-a925-5fe6-0291-1e2c
cerberhhyed5frqa.fgfid6.win/d6d7-a925-5fe6-0291-1e2c
cerberhhyed5frqa.onion/d6d7<blockquote></blockquote>cerberhhyed5frqa.sdfiso.win/d6d7-a925-5fe6-0291-1e2c
Diese Malware läd evtl. weiteres nach
Diese malware verschlüsselt persönliche Daten, erkennbar an der Endung .cerber, sie benötigt dafür keine Internetverbindung.

Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
http://markusg.trojaner-board.de/
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/plagege...n-bekaempfung/
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen
Code:
ATTFilter
http://www.trojaner-board.de/179205-spam-mir-wurst.html#post158880
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet
Geändert von markusg (01.06.2016 um 21:02 Uhr)

Alt 11.06.2016, 17:45   #2
bombinho
 
Spam: ist mir wurst - Standard

Spam: ist mir wurst


Cool, sowas sollte in einer eigenen Sparte oefter gemacht werden.

Allerdings mache ich mir die Arbeit meist nicht sondern schicke es gleich weiter an Avira und warte dann auf die Mail, dass die Signaturen eingepflegt wurden.
__________________
Alt 13.06.2016, 11:18   #3
iceweasel
 
Spam: ist mir wurst - Standard

Spam: ist mir wurst


Statt Absender zu lesen oder zu posten sollte man lieber schauen welcher Mailserver den Spam rübergereicht hat. JavaScript selbst ist auch nicht kritisch. Bis jetzt habe ich vor allem nur von JS/Redirector gelesen, die dann z.B. auf EXE usw. umleiten. Aber auch das ist noch nicht kritisch. Bei Linux sind ausführbare Dateien (.sh) gar nicht ausführbar markiert. Und bei Windows wird doch auch noch mal gefragt ob man wirklich die EXE-Datei starten will. Somit keine Gefahr. Windows arbeitet vollkommen korrekt. Der Anwender ist das Problem, der einfach jede Meldung ungelesen bestätigt. Weit einfacher wäre es ein Script zu verteilen, dass einfach nur die Platte formatieren will. Würde ähnlich gut funktionieren. Die Dummheit des Anwenders ist unbegrenzt.
__________________
Alt 13.06.2016, 11:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Spam: ist mir wurst - Icon31

Spam: ist mir wurst


Zitat:
Zitat von iceweasel Beitrag anzeigen
Und bei Windows wird doch auch noch mal gefragt ob man wirklich die EXE-Datei starten will. Somit keine Gefahr. Windows arbeitet vollkommen korrekt. Der Anwender ist das Problem, der einfach jede Meldung ungelesen bestätigt. Weit einfacher wäre es ein Script zu verteilen, dass einfach nur die Platte formatieren will. Würde ähnlich gut funktionieren. Die Dummheit des Anwenders ist unbegrenzt.
Die Anwender wurden aber durch Windows und auch viele Programme für Windows so erzogen, jeden Sch... abzunicken. Und gerade bei Vista, tw. auch bei Windows 7, ist die UAC doch schon nervig. Also was machst man, richtig, man stellt diese nervige UAC aus

Eine Datei generell unter Linux ausführbar machen ohne dass man nach dem Abspeichern dieser erstmal ein chmod +x macht ist da doch schon etwas aufwändiger
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.06.2016, 22:11   #5
_sTaNlEy_
 
Spam: ist mir wurst - Standard

Spam: ist mir wurst


Zitat:
Zitat von iceweasel Beitrag anzeigen
Statt Absender zu lesen oder zu posten sollte man lieber schauen welcher Mailserver den Spam rübergereicht hat.
Das ändert auch nur etwas für den Moment...

Zitat:
Der Anwender ist das Problem, der einfach jede Meldung ungelesen bestätigt.
Das ist auch etwas zu einfach gedacht. Nehmen wir an, der Durchschnittsanwender würde jede Meldung gelesen bestätigen - was würde sich ändern? Wohl eher wenig. Warum? Nur, weil man etwas gelesen hat, heißt es noch lange nicht, dass man auch die Folgen, die der einzige Klick auslösen kann, auch umreißt.

Ob dann die Meldung überhaupt verstanden wurde, steht auf einem ganz anderen Blatt.

Es ist einfach zu viel Unwissenheit - gepaart mit Naivität, Gier oder was auch immer vorhanden. Sonst gäbe es wohl kaum so viele Infektionen mit Schadsoftware oder Betrugsfälle.


Antwort

Themen zu Spam: ist mir wurst
aktiv, appdata, auswertung, autostart, chat, code, datei, erstellt, files, folge, hängt, javascript, link, mail, mails, malware, microsoft, nicht mehr, roaming, senden, software, spam, variant, version, windows


« Laptop ausgeschaltet am Stromnetz - hackbar? | Kein Ruhezustand bei Windows 10? »


Ähnliche Themen: Spam: ist mir wurst


  1. Er konnte es nicht lassen: "Spam King" wegen Facebook-Spam am Haken
    Nachrichten - 26.08.2015 (0)
  2. spam-mail über mein web.de-account versendet, spam-mail auch im gesendet Ordner
    Log-Analyse und Auswertung - 16.11.2011 (3)
  3. Spam
    Mülltonne - 10.10.2008 (0)
  4. Spam
    Mülltonne - 30.09.2008 (0)
  5. Spam
    Mülltonne - 30.09.2008 (0)
  6. Spam
    Mülltonne - 30.09.2008 (0)
  7. Spam!
    Mülltonne - 29.09.2008 (0)
  8. Spam
    Mülltonne - 27.09.2008 (0)
  9. Spam
    Mülltonne - 25.09.2008 (0)
  10. Spam
    Mülltonne - 25.09.2008 (0)
  11. Spam
    Mülltonne - 25.09.2008 (0)
  12. Spam
    Mülltonne - 25.09.2008 (0)
  13. Spam
    Mülltonne - 23.09.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Spam: ist mir wurst - ist mir Wurst: Wer eine Mail mit dem Betreff Code: Alles auswählen Aufklappen ATTFilter ist mir Wurst: Erhält, sollte diese an uns weiterleiten. From Code: Alles auswählen Aufklappen ATTFilter Peter - Spam: ist mir wurst...
Archiv
Du betrachtest: Spam: ist mir wurst auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129