Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Skype Spam: Wir haben Ihre Bestellung geliefert

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 08.04.2013, 12:40   #1
markusg
/// Malware-holic
 
Skype Spam: Wir haben Ihre Bestellung geliefert - Standard

Skype Spam: Wir haben Ihre Bestellung geliefert



Wir haben Ihre Bestellung geliefert


Wer eine Mail mit dem Betreff "Wir haben Ihre Bestellung geliefert" erhält, sollte diese an uns weiterleiten.

Zitat:
From: Skype <noreply@alerts.skype.com (gefälschter Absender)
Subject: Wir haben Ihre Bestellung geliefert
Dies ist eine automatisierte E-Mail. Bitte antworten Sie nicht darauf.




Hallo!

<Free Skype internet calls and cheap calls to phones online - Skype Das Bild wurde vom Absender entfernt. Free Skype internet calls and cheap calls to phones online - Skype



Wir haben Ihre Bestellung geliefert

Das Produkt kann jetzt genutzt werden. Bei Problemen <Free Skype internet calls and cheap calls to phones online - Skype
besuchen Sie bitte unseren Hilfebereich unter skype.com.


Die Einzelheiten Ihres Einkaufs In der befestigten Datei




Sie können den Status Ihrer Vereinbarung und die Ergebnisse Ihrer letzten
Zahlungen online einsehen.

Die regelmäßige Zahlung für Ihr Abonnement wird für jeden
Abrechnungszeitraum am gleichen Tag (soweit dies möglich ist) erfolgen. Wenn
Sie <Free Skype internet calls and cheap calls to phones online - Skype Ihr Abonnement kündigen, tritt diese Kündigung erst
am Ende des letzten Abrechnungszeitraums in Kraft.


Bis bald
Ihr Skype-Team


<Free Skype internet calls and cheap calls to phones online - Skype
Kontoeinstellungen · < Hilfe für
Skype
Sie können zwar nicht auf diese E-Mail antworten, aber wenn Sie Hilfe
benötigen, können Sie uns über unseren <Free Skype internet calls and cheap calls to phones online - Skype Hilfebereich
kontaktieren.
Besuchen Sie auch unsere Foren.

Schützen Sie Ihr Kennwort
Skype-Mitarbeiter werden Sie NIEMALS in einer E-Mail um Ihr Kennwort bitten.
Die einzige Situation, in der Sie um die Angabe Ihres Kennworts gebeten
werden, ist beim Anmelden in Skype oder auf unserer Website, wenn Sie etwas
kaufen oder Ihr Konto einsehen möchten. Die Anmeldung erfolgt immer über
eine sichere Verbindung. Bitte versichern Sie sich, dass die Adresse in
Ihrem Browser immer wie folgt beginnt: https://secure.skype.com und dass Ihr
Browser ein kleines Schloss-Symbol anzeigt. Dies weist auf eine sichere
Verbindung hin.

Bitte lassen Sie bei E-Mail-Nachrichten, in denen Sie um Kontoinformationen
gebeten werden oder die dringenden Handlungsbedarf nahelegen, besondere
Vorsicht walten. Des Weiteren ist bei Websites mit eigentümlichen Adressen
oder Websites, die inoffizielle Skype-Downloads anbieten, Vorsicht geboten.
Sicherheitsupdates und Produktaktualisierungen sind unter Free Skype internet calls and cheap calls to phones online - Skype
abrufbar oder können über die Aktualisierungsfunktion der Skype-Software
installiert werden.

© 2003-2012 Skype Limited. Skype Communications S.a.r.l. 23-29 Rives de
Clausen, L-2165 Luxembourg.
Skype, entsprechende Marken und Logos und das "S"-Symbol sind Marken von
Skype.







Es hängt an:
Die Einzelheiten Ihres Einkaufs.zip
Rund 34,1KB groß

Scanergebniss der enthaltenen EXE-Datei:
https://www.virustotal.com/de/file/1...is/1365418934/
SHA256:
15534ba42e0b5218b951ba041a7765445786060024b3b8d007595eb0b031f87b*
Dateiname:
Die Einzelheiten Ihres Einkaufs.pdf.exe*
https://www.virustotal.com/file/15534ba42e0b5218b951ba041a7765445786060024b3b8d007595eb0b031f87b/analysis/1365440546/
MD5: c61e7a9b712091b53bbb5029ef920824
SHA1: 408be8fa86acb80a095828513f748d3607df662d
Detect: 18 / 46

Artemis!C61E7A9B7120 (McAfee)
Trojan.Ransom (Malwarebytes)
Backdoor.Trojan (Symantec)
Win32:Malware-gen (Avast)
Trojan-Ransom.Win32.Blocker.azts (Kaspersky)
Trojan.Ransom.ZE (BitDefender)
Troj/Agent-ABCT (Sophos)
Heur.Suspicious (Comodo)
Trojan.DownLoader8.5817 (DrWeb)
BDS/Androm.EB.94 (AntiVir)
BKDR_ANDROM.DM (TrendMicro)
Artemis!C61E7A9B7120 (McAfee-GW-Edition)
Trojan.Win32.Agent.AMN (A) (Emsisoft)
Trojan.Ransom.ZE (GData)
Backdoor.Trojan (PCTools)
Win32/TrojanDownloader.Wauchos.I (ESET-NOD32)
Suspicious (Rising)
Trojan.Injector (Ikarus)

Es handelt sich hierbei um Backdoor.Andromeda

Die Malware startet eine Kopie ihrer selbst:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"10006
"
c:\dokume~1\alluse~1\dxovrg.exe
dies ist die Kopie des original Backdoors, diese läd den Trojan.Zbot nach:
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{EA1178B6-687E-CA32-BA95-58EB2E5E1C2E}
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Koru\pyegleo.exe
die Malware verbindet zu:
efsa-accessoires.de/templates/Red500/admin/mail/german/766.exe
elmara.ru/blog.php
Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.[/QUOTE]
- Beachtet die doppelte Dateiändung, hiermit wird versucht euch eine PDF als EXE unterzujubeln
Miniaturansicht angehängter Grafiken
Skype Spam: Wir haben Ihre Bestellung geliefert-skype-email-malware-small-1-.jpg  
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.04.2013, 23:58   #2
Plueschi089
 
Skype Spam: Wir haben Ihre Bestellung geliefert - Standard

Skype Spam: Wir haben Ihre Bestellung geliefert



Hallo Marcus,

wer bedellt der bedahlt . Die Frage ist allerdings, wie bekomme ich den Anhang gezippt? Kaspersky hat den Anhang gelöscht (der Anhang befindet sich also nicht im normalen Ordner für Download-Dateien) und eine Sicherungskopie erstellt, die er weiß der Kuckuck wo gespeichert hat. Auf der gmx-Oberfläche im Mailordner ist der Anhang aber noch in seiner Originalfassung. Speichere ich den Anhang in den Media-Center wirds immer noch als komprimierte pdf-Datei angezeigt, ich kanns dort auch nicht zippen. Und auf meiner Festplatte finde ich das olle Teil nicht. Ich hab diesen Virenscanner erst seit ein paar Tagen und weiß nicht, wo der standardmäßig sowas ablegt (unter XP, beim Installieren den Installationspfad nicht geändert). Im Programmordner befindet sich keine Datei mit heutigem Dateidatum und in den Dokumenten und Einstellungen finde ich weder in den Anwendungsdaten noch in den LokalenEinstellungen/Anwendungsdaten einen Kaspersky-Ordner!?

Kurze Frage noch, weil ich denke, dass ein Extra-Thread in dem Fall nicht erforderlich ist:

Leider habe ich versucht, die Datei auf meine Festplatte zu speichern (ich habe derzeit kein installiertes Virenprog, sondern lese und schreibe meine Mehls auf der gmx-Oberfläche), da in der gmx-Oberfläche nicht erkennbar war, dass es sich um eine exe anstatt einer pdf handelt - UND weil die Absender-Domain auch wirklich auf skype lautete (ich war die letzten Tage mehrfach bei skype auf der Homepage eingeloggt - somit es war also theoretisch denkbar, dass ich aus Versehen irgendwas angeklickt habe, was ich gar nicht anklicken wollte) ....

Zitat:
- Beachtet die doppelte Dateiändung, hiermit wird versucht euch eine PDF als EXE unterzujubeln
Was leider auch gelungen ist. Brain.exe hat der Trick ausgetrickst, nachdem die exe-Endung auf der der gmx-Oberfläche nicht erkennbar war


Zitat:
Die Malware startet eine Kopie ihrer selbst:[INDENT]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"10006
Zitat:
- wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.
Da mein Virenprog (Kaspersky) bereits beim Einhang Alarm geschlagen und mit der o.g. Meldung die Datei gelöscht hat, ich somit die Datei also gar nicht ausführen konnte und bei Kontrolle der Regestrie ein solcher Eintrag auch nicht besteht (den Ordner Explorer in diesem policies-Ordner policies gibts überhaupt nicht) nehme ich an, dass ich auch nicht extra einen Thread eröffnen muss?

LG Plüschi
__________________


Geändert von Plueschi089 (09.04.2013 um 00:34 Uhr)

Alt 09.04.2013, 10:01   #3
markusg
/// Malware-holic
 
Skype Spam: Wir haben Ihre Bestellung geliefert - Standard

Skype Spam: Wir haben Ihre Bestellung geliefert



Hi
bei dir ist alles ok.
sende mir die mail dann nicht, gestern gabs nur eine Variannte der software.
Wenn du mehr spam bekommst, gerne an mich
__________________
__________________

Antwort

Themen zu Skype Spam: Wir haben Ihre Bestellung geliefert
abonnement, anhang ausgeführt, anmeldung, artemis!c61e7a9b7120, backdoor.andromeda, backdoor.trojan, bds/androm.eb.94, bkdr_androm.dm, browser, emsisoft, free, geliefert, heur.suspicious, kaufen, skype, suspicious, troj/agent-abct, trojan-ransom.win32.blocker.azts, trojan.downloader8.5817, trojan.injector, trojan.ransom, trojan.ransom.ze, trojan.win32.agent.amn (a), verdächtige mail, websites, win32/trojandownloader.wauchos.i, win32:malware-gen, wir haben ihre bestellung geliefert




Ähnliche Themen: Skype Spam: Wir haben Ihre Bestellung geliefert


  1. GMX Spam: GMX - Ihre Rechnung vom 03.12.2013
    Diskussionsforum - 24.08.2014 (10)
  2. Trojaner-Warnung! Im Betreff: "Die Zahlung fur…" und "Dankeschon fur das Einkaufen mit uns heute! Ihre Bestellung wird derzeit verarbeitet."
    Diskussionsforum - 25.07.2014 (0)
  3. Telekom Mail Spam: Ihre Rechnung Nr. 0120131459/2
    Diskussionsforum - 05.12.2013 (0)
  4. amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13
    Diskussionsforum - 12.11.2013 (2)
  5. O2 Spam: Ihre Online-Rechnung von o2
    Diskussionsforum - 30.10.2013 (0)
  6. ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung: K10500-648187
    Log-Analyse und Auswertung - 25.07.2013 (17)
  7. ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung
    Plagegeister aller Art und deren Bekämpfung - 13.07.2013 (6)
  8. vodafone Spam: Ihre Rechnung vom 28.06.2013 im Anhang als PDF
    Diskussionsforum - 01.07.2013 (0)
  9. O2 DSL Spam: Bestellung (Kundennummer DE70126573)
    Diskussionsforum - 25.06.2013 (1)
  10. Spam: Ihre Aufforderung von Inkasso Mandantschaft
    Diskussionsforum - 13.06.2013 (5)
  11. ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung: K10500-648148
    Diskussionsforum - 04.06.2013 (52)
  12. Booking.com Spam: Ihre Reservierung im Tibullo Guesthouse
    Diskussionsforum - 28.05.2013 (0)
  13. ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung: K10500-648187
    Log-Analyse und Auswertung - 21.05.2013 (2)
  14. almado-ENERGY Spam: Ihre Vertragsbest tigung
    Diskussionsforum - 21.05.2013 (0)
  15. ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung
    Log-Analyse und Auswertung - 20.05.2013 (8)
  16. payplus.de Spam: Ihre goldene premium Prepaid MasterCard
    Diskussionsforum - 16.04.2013 (0)
  17. 1&1 Telecom GmbH Spam: Ihre Rechnung vom 05.04.2013
    Diskussionsforum - 15.04.2013 (0)

Zum Thema Skype Spam: Wir haben Ihre Bestellung geliefert - Wir haben Ihre Bestellung geliefert Wer eine Mail mit dem Betreff "Wir haben Ihre Bestellung geliefert" erhält, sollte diese an uns weiterleiten. Zitat: From: Skype <noreply@alerts.skype.com (gefälschter Absender) Subject: Wir - Skype Spam: Wir haben Ihre Bestellung geliefert...
Archiv
Du betrachtest: Skype Spam: Wir haben Ihre Bestellung geliefert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.