Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2)

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 15.05.2013, 18:34   #1
markusg
/// Malware-holic
 
Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2) - Standard

Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2)



Ihren Fahrkartenkauf (Auftrag WA98L2)


Wer eine Mail mit dem Betreff
Zitat:
"Ihren Fahrkartenkauf (Auftrag WA98L2)"
(Auftragsnummern können varieren)
erhält, sollte diese an uns weiterleiten.

From: buchungsbestaetigung@bahn.de
(gefälschter Absender)
Subject: Ihren Fahrkartenkauf (Auftrag WA98L2)
Ihren Fahrkartenkauf (Auftrag WA98L2)
Sehr geehrte,

vielen Dank für Ihren Fahrkartenkauf bei
bahn.de.

Ihre persönlichen Buchungsdaten:

Auftragsnummer: PNO1HK
Kundennummer: 35571574

Das sollten Sie wissen:

- Bitte drucken Sie Ihr Online-Ticket im DIN A4 Format aus!

- Bei der Kontrolle wird der Zugbegleiter die Identifizierungskarte und
* den Barcode in sein Kontrollgerät einlesen. Hierzu überreichen Sie ihm
* bitte das Ticket sowie die angegebene Identifizierungskarte

- Falls sich Ihre Reiseplanung ändert, können Sie Ihr Online-Ticket im
* Rahmen der tariflichen Zulässigkeit über
www.bahnde/erstattung
* stornieren oder in DB Reisezentren zurückgeben.

Tipps für Ihre Reise:

Ist mein Zug pünktlich?
DB Bahn: Aktuelle Abfahrts- und Ankunftszeiten

Alternative Zugverbindungen
DB Bahn: Besser informiert, schneller am Ziel

Mobile Auskünfte und Ticketbuchung über Ihr Handy oder iPad
DB Bahn: Mobile Services

Für Rückfragen stehen wir Ihnen gerne zur Verfügung
(täglich von 07:30 bis 21:00 Uhr):

DB Vertrieb GmbH
Online-Vertrieb
Postfach 60 05 04
D-22205 Hamburg

E-Mail:
fahrkartenservice@bahn.de
Telefon: 0 18 05 / 10 11 11*
*14 ct/Min. aus dem Festnetz, Tarif bei Mobilfunk max. 42 ct/Min.

Wir wünschen Ihnen eine gute Reise.

Mit freundlichen Grüßen
Ihr Team von
bahn.de

DB Vertrieb GmbH
Stephensonstraße 1
60326 Frankfurt am Main

Handelsregister B des Amtsgerichts Frankfurt am Main
HRB 79808
Ust-IdNr.: DE 814160246

Die DB Vertrieb GmbH wird vertreten durch die Vorsitzende der Geschäfts-
führung Frau Birgit Bohle, den Geschäftsführer Finanzen & Controlling
Herrn Ulrich Jäkel und den Geschäftsführer Personal Herrn Ottmar Netz.
Es hängt an:
Code:
ATTFilter
Ihren Fahrkartenkauf_17G1LG.zip
(Nummern können varieren).
Rund 26,5 KB groß.
Virustotal Ergebniss der enthaltenen .EXE Datei:
https://www.virustotal.com/de/file/8...is/1368614217/
SHA256:
87a49e0c82c9b1620867ea75a3e4b0c1a4bb1bf374088b627a1eff7ac344cd47*
Dateiname:
Ihren Fahrkartenkauf_9FJ3AI5.pdf.exe*
Erkennungsrate:
2 / 45 *
Ikarus 
Win32.Outbreak 
Kaspersky 
UDS:DangerousObject.Multi.Generic
         

Code:
ATTFilter
https://www.virustotal.com/file/8bead77f494f9f7bedbcecb1c252f9c79232dc6c317a95afa8f0f656ee376d3b/analysis/1368641140/
MD5:  1c7f55a0b8310ccfc1ca3c8b23db9719
SHA1:  38abda2a541bad657ed16f23d62769406f3da233
Detect: 26 /  46

Trojan.GenericKD.992078  (MicroWorld-eScan)
Artemis!EA4C997FE1A5  (McAfee)
W32/Generic!zip-dobleextension  (TheHacker)
W32/Heuristic-300!Eldorado  (F-Prot)
Backdoor.Trojan (Symantec)
TROJ_GEN.F47V0515  (TrendMicro-HouseCall)
Win32:Trojan-gen  (Avast)
Suspect.DoubleExtension-zippwd-15  (ClamAV)
Trojan-Ransom.Win32.Blocker.beqq  (Kaspersky)
Trojan.Gamarue.AV (BitDefender)
Troj/Agent-ABSX  (Sophos)
Heur.Suspicious (Comodo)
Trojan:W32/Agent.DULK  (F-Secure)
Trojan.DownLoad3.23586 (DrWeb)
Trojan.Zip.Bredozp.b  (v) (VIPRE)
HIDDENEXT/Worm.Gen (AntiVir)
BKDR_ANDROM.EH  (TrendMicro)
Artemis!EA4C997FE1A5  (McAfee-GW-Edition)
Trojan.Gamarue.AV (B)  (Emsisoft)
VirTool:Win32/Injector  (Microsoft)
Trojan.GenericKD.992078 (GData)
Backdoor.Trojan  (PCTools)
Win32/TrojanDownloader.Wauchos.I  (ESET-NOD32)
Trojan.Injector (Ikarus)
W32/Blocker.BEQQ!tr  (Fortinet)
FakeAlert (AVG)
         

Es handelt sich hierbei um Backdoor.Gamarue

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942
c:\docume~1\alluse~1\dxedhhl.exe
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung[/QUOTE]
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 16.05.2013, 09:29   #2
steppe82
 
Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2) - Standard

Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2)



Servas,

ein Kollege von mir hat die Mail bekommen und ausgeführt

Die Datei direkt im Profilverzeichnis wird zwar von Symantec gelöscht, aber sie kam erstmal immer wieder (wie auch der Loadeintrag)

Heute konnte die Datei wennschon von Symantec immer wieder geblockt werden. Der Load Eintrag kam allerdings immer wieder.

Scans von 3 verschiedenen Tools laufen lassen. Nichts.
Symantec NPS, Malwarebytes, Windows Tool

Procmon angeschmissen. Regkey gelöscht und tada
msiexec im SysWOW64 Ordner. Habe sie nun erstmal umbenannt (was ja noch zu Probleme führen wird)
Siehe Bild

Welcher Virus das nun genau ist lässt Symantec auch nicht raus. Backdoor.Trojan.
Miniaturansicht angehängter Grafiken
Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2)-namenlos.jpg  
__________________


Antwort

Themen zu Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2)
aktuelle, autostart, backdoor.gamarue, besser, datei, emsisoft, erstellt, hiddenext/worm.gen, link geöffnet, microsoft, mobilfunk, personal, software, spam, trojan.gamarue.av, trojan:w32/agent.dulk, täglich, verdächtige, verdächtige mail, version, w32/blocker.beqq!tr, w32/heuristic-300!eldorado, win32/trojandownloader.wauchos.i, windows



Ähnliche Themen: Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2)


  1. Betrug mit Online-Zugtickets: Bahn um hunderttausende Euro geprellt
    Nachrichten - 02.07.2014 (0)
  2. Seite Bundespolizei hat Ihren Computer gesperrt
    Plagegeister aller Art und deren Bekämpfung - 21.11.2013 (25)
  3. bahn.de Spam: Der exklusive Vorschlag
    Diskussionsforum - 06.11.2013 (0)
  4. Online Banking - Bahn frei oder nicht? Logfiles anbei.
    Log-Analyse und Auswertung - 02.07.2013 (5)
  5. Ihren Fahrkartenkauf_TM6ACN - "Bahn Trojaner" geöffnet - Mist! Infiziert? Und wie werd ich ihn wieder los?
    Log-Analyse und Auswertung - 19.05.2013 (7)
  6. Virenmail tarnt sich als Bahn-Buchungsbestätigung
    Nachrichten - 15.05.2013 (0)
  7. Trojaner: Bundesministerium für Sicherheit sperrt ihren Computer
    Plagegeister aller Art und deren Bekämpfung - 01.04.2013 (3)
  8. BUNDESPOLIZEI HAT IHREN PC Gesperrt!
    Log-Analyse und Auswertung - 27.09.2012 (12)
  9. Bundespolizei hat ihren PC gesperrt - Erste Logfiles hängen an
    Log-Analyse und Auswertung - 19.08.2012 (3)
  10. Banking-Trojaner "Gauss" vermutlich mit staatlichem Auftrag
    Nachrichten - 09.08.2012 (0)
  11. Zugriff auf ihren Computer verweigert - Bundespolizei Trojaner
    Log-Analyse und Auswertung - 04.04.2012 (1)
  12. Future Security: Sicherheit hat ihren Preis
    Nachrichten - 07.09.2011 (0)
  13. Google weist Admins auf Phishing und Malware in ihren Netzen hin
    Nachrichten - 15.10.2010 (0)
  14. Diese Website kann Ihren Computer beschädigen
    Antiviren-, Firewall- und andere Schutzprogramme - 28.06.2010 (1)
  15. Forderungen nach mehr Videoüberwachung für Sicherheit in Bus und Bahn
    Nachrichten - 20.11.2009 (0)
  16. IBM und Symantec patchen kritische Lücken in ihren Produkten
    Nachrichten - 27.08.2009 (0)
  17. Franzoesin braucht ihren hilfe bittesehr
    Log-Analyse und Auswertung - 31.10.2008 (7)

Zum Thema Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2) - Ihren Fahrkartenkauf (Auftrag WA98L2) Wer eine Mail mit dem Betreff Zitat: "Ihren Fahrkartenkauf (Auftrag WA98L2)" (Auftragsnummern können varieren) erhält, sollte diese an uns weiterleiten. From: buchungsbestaetigung@bahn.de (gefälschter Absender) Subject: Ihren - Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2)...
Archiv
Du betrachtest: Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.