Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 07.11.2013, 20:28   #1
markusg
/// Malware-holic
 
amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13 - Standard

amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13



Ihre Amazon.de Bestellung vom 05.11.13



Wer eine Mail mit dem Betreff
Code:
ATTFilter
 
"Ihre Amazon.de Bestellung vom 05.11.13 ...."
Erhält, sollte diese an uns weiterleiten.
  Von: bestellbestaetigung@amazon-promotion5.de
(gefälschter Absender)
  Betreff: Ihre Amazon.de Bestellung vom 05.11.13 ....
(Alle in der Mail befindlichen Links zeigen auf einen schädlichen Download)
  Amazon
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865 

  Meine Bestellungen
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865 

  |  Mein Konto
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865 
  |  Amazon.de
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F7777772E616D617A6F6E2E64652F67702F722E68746D6C3F523D325458433041593348
  4F37445326433D45593037413456465553583626483D51414D4E4C424F57533441454F574E4C
  52584D5458584B494245514126543D4326553D68747470732533412532462532467777772E61
  6D617A6F6E2E646525324672656625334470655F3338363137315F33383037353836315F7065
  5F3336343731315F33363333303138315F636E   	
  
  Bestellbestätigung
  
  Bestellung: 1975-6324-1254
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865   
  
   
  
  
  Guten Tag,
  
  
  vielen Dank für Ihre Bestellung. Wir werden Sie benachrichtigen, sobald
  Ihr(e) Artikel versandt wurde(n). 
  
  Sie finden das voraussichtliche Lieferdatum weiter unten. Um Ihre Bestellung
  anzusehen, zu verändern oder zu stornieren, verwenden Sie bitte unser
  Stornierungstool
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865  .
  (Verwendbar unter allen x32 und x64 - Windows Systemen) 
  
  	
                      
   
  
  Lieferung voraussichtlich: 
  Montag, 11. November 2013 - 
  Mittwoch, 13. November 2013 
  
  Versandart: 
  Standard-Versand 
  
  Your Orders
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865  
  
  
  	
  
  Einzelheiten Ihrer Bestellung
  
   
  
  Bestellung: #1975-6324-1254
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865  
  Aufgegeben am 05. November 2013 	
   
  
   
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865 
  Logitech G510 Gaming Tastatur schnurgebunden (deutsches Tastaturlayout,
  QWERTZ)
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865  
  Logitech 
  Verkauft von: Amazon EU S.a.r.L.
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865   
                
   
  
  	Facebook
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865 
  Twitter
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865 
  Pinterest
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=redir&dest=68747470
  3A2F2F757376632E6F776E7A2E73752F53746F726E696572756E6773746F6F6C2E657865 
  
                
  EUR 78,31 
  	
   
  
  	
  Zwischensumme: 	EUR 62,98 	
  Verpackung und Versand: 	EUR 0,00 	
  
  Zwischensumme ohne USt.: 	EUR 61,98 	
  Umsatzsteuer: 	EUR 11,76 	
  
  Endbetrag inkl. USt.: 	EUR 73,74 	
  Gewählte Zahlungsart: 	Bankeinzug 	
  	
  	
   
  
  
  	
   
  
  Wir freuen uns auf Ihren nächsten Besuch! 
  Amazon.de 
  
   
  
  Bitte beachten Sie: Diese E-Mail dient lediglich der Bestätigung des
  Einganges Ihrer Bestellung und stellt noch keine Annahme Ihres Angebotes auf
  Abschluss eines Kaufvertrages dar. Ihr Kaufvertrag für einen Artikel kommt
  zu Stande, wenn wir Ihre Bestellung annehmen, indem wir Ihnen eine E-Mail
  mit der Benachrichtigung zusenden, dass der Artikel an Sie abgeschickt
  wurde. 
  
  Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht
  auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails
  eingerichtet ist. 
  
   
  <http://www.amazon.de/gp/r.html?R=2TXC0AY3HO7DS&C=EY07A4VFUSX6&H=JVILWE5JZRV
  BZHUDEZZTRYSYYWUA&T=E&U=http%3A%2F%2Fimages-eu.amazon.com%2Fimages%2FG%2F01%
  2Fnav%2Ftransp.gif 
  <http://cp.perfora.net/X?p=&v=0000000042FA4F01BF407F4C&t=cp
         
Wer auf einen der infizierten Links klickt, eerhält folgene Datei:

https://www.virustotal.com/de/file/1...61b4/analysis/
SHA256:
1619f191850bdb39fd8701782778a9f2d6883a5f9108012d27cdb13a127b61b4
Dateiname:
Stornierungstool.exe
Erkennungsrate:
1 / 47
Kaspersky
UDSangerousObject.Multi.Generic
Es handelt sich hierbei um Ransomware
Der folgene Autostart eintrag wird erstellt:[INDENT]HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Svchost
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AovOQAG.exe"
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nuhaxi\erseo.exe/INDENT]Dies ist die Kopie des Droppers
Die Malware verbindet Zu folgenen Hosts:
ipv4.icanhazip.com
checkip.dyndns.org
Diese Malware scheint dann weiter über Tor zu komunizieren.
Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
Log-Analyse und Auswertung - Trojaner-Board
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen

Code:
ATTFilter
http://www.trojaner-board.de/144214-amazon-spam-amazon-de-bestellung-05-11-13-a.html
         
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Geändert von markusg (07.11.2013 um 20:41 Uhr)

Alt 12.11.2013, 11:35   #2
conny667
 
amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13 - Standard

amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13



Hallo!

Mein Cousin kam letzten Freitag mit seinem Laptop zu mir und hat mir genau diese Virusmail gezeigt. Allerdings hatte er bereits auf den Button "Bestelldetails" geklickt, woraufhin die verlinkte Seite ein "Stornierungstool" automatisch herunterladen wollte. Sein Antivirenprogramm (Avast Internet Security) hat sofort angeschlagen und den Download anscheinend blockiert. Zumindest war unter dem Ordner Downloads keine Datei vorhanden.

Allerdings öffnet sich nach jedem Start des Laptops ein Fenster, welches entweder zum Ausführen oder Abbrechen auffordert. Er hat immer auf Abbrechen geklickt. Ich habe dieses Fenster vorerst einmal aus dem Autostart entfernt.

Meine Fragen:
1. Was macht dieser Virus?
2. Hat ihn sein Antivirenprogramm vollständig abgestoppt?
3. Besteht noch irgendeine Gefahr?

Danke schon mal!
LG
__________________


Alt 12.11.2013, 11:40   #3
markusg
/// Malware-holic
 
amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13 - Standard

amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13



HI,
wir sind keine hellseher, was hast du aus dem Autostart entfernt? genauer eintrag + pfadangabe
__________________
__________________

Antwort

Themen zu amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13
.com, administrator, aktiv, antworten, aufgegeben, automatisch, autostart, backdoor, bestellbestaetigung, code, datei, download, e-mail, einstellungen, folge, infizierte, klick, links, log-analyse und auswertung, logitech, mail, malware, microsoft, qwertz, software, spam, systeme, tastatur, verdächtige mail, windows



Ähnliche Themen: amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13


  1. Amazon- spam mail. Bankdaten eingegeben.
    Plagegeister aller Art und deren Bekämpfung - 02.06.2015 (3)
  2. Amazon-Icon, GIGA-Android-Startseite und Amazon.de.Url nach Download einer Datei(jedoch keine erkennbarne Probleme)
    Log-Analyse und Auswertung - 13.08.2014 (11)
  3. Amazon Spam von "info@amazon.de"
    Plagegeister aller Art und deren Bekämpfung - 01.07.2014 (14)
  4. Amazon.de Phishing: "Heartbleed-Exploit Ihre Mithilfe"
    Diskussionsforum - 12.05.2014 (0)
  5. Amazon Spam Mail geöffnet
    Plagegeister aller Art und deren Bekämpfung - 01.05.2014 (7)
  6. Malware/Spam durch Amazon.de
    Plagegeister aller Art und deren Bekämpfung - 08.03.2014 (11)
  7. Spam/Phishing-Mail von Amazon in Thunderbird angeklickt und in Firefox geöffnet
    Log-Analyse und Auswertung - 15.02.2014 (16)
  8. Amazon Toolbar entfernen
    Anleitungen, FAQs & Links - 30.10.2013 (2)
  9. Manipulierte Weiterleitung (Amazon) immer auf http://www.amazon.de/?cmd=redxme
    Plagegeister aller Art und deren Bekämpfung - 30.06.2013 (5)
  10. Amazon startet Single Sign-On "Login with Amazon"
    Nachrichten - 30.05.2013 (0)
  11. Skype Spam: Wir haben Ihre Bestellung geliefert
    Diskussionsforum - 09.04.2013 (2)
  12. Amazon - Keylogger
    Alles rund um Windows - 06.04.2013 (1)
  13. Zip-Datei im E-Mail-Anhang von "Bestellung bei Amazon Buyvip" geöffnet
    Log-Analyse und Auswertung - 05.04.2013 (9)
  14. PishingEmail von Amazon
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (1)
  15. Fehler bei Amazon
    Überwachung, Datenschutz und Spam - 04.08.2012 (10)
  16. Mailaccount und Amazon gehackt
    Log-Analyse und Auswertung - 02.09.2011 (1)
  17. free6.se & Amazon
    Log-Analyse und Auswertung - 16.11.2004 (4)

Zum Thema amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13 - Ihre Amazon.de Bestellung vom 05.11.13 Wer eine Mail mit dem Betreff Code: Alles auswählen Aufklappen ATTFilter "Ihre Amazon.de Bestellung vom 05.11.13 ...." Erhält, sollte diese an uns weiterleiten. Von: bestellbestaetigung@amazon-promotion5.de - amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13...
Archiv
Du betrachtest: amazon.de Spam: Ihre Amazon.de Bestellung vom 05.11.13 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.