Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verhalten von Trojanern beim Mailversand

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.06.2015, 18:53   #1
RainerGL
 
Verhalten von Trojanern beim Mailversand - Standard

Verhalten von Trojanern beim Mailversand



Hallo zusammen,

bei einer Bekannten von mir habe ich heute folgendes Phänomen beobachtet. Sie bekam am Freitagabend innerhalb von zwei Minuten 13 E-Mails von Empfängern mit denen sie noch nie kommuniziert hat und es waren ausschließlich Meldungen der empfangenden Mailserver.

Entweder wird dort berichtet, dass die Nachricht einen virenverseuchten Anhang enthielt oder es den entsprechenden Empfänger gar nicht gibt. Die von ihr angeblich versendeten E-Mails sind wie folgt aufgebaut (mit kleinen Variationen):
Betreff: Re: Fax-22376611-882133864
Body: Fax models: hp-34fd Pages: 3
Anhang: ZIP-Archiv mit einer EXE-Datei

Sie war eine Woche (bis einschließlich gestern Samstag) im Urlaub und ihr PC war die ganze Zeit ausgeschaltet - ich habe es überprüft. Währenddessen las sie die E-Mails auf ihrem iPad. Bei 8 Nachrichten konnte ich die ursprünglichen Mailheader untersuchen und der unterste "Received" Eintrag weist darauf hin, dass die E-Mails von 7 unterschiedlichen IP-Adressen abgeschickt wurden, die nicht von ihr stammen können. Hier sind einige Beispiele (ihreDomäne habe ich eingefügt):

-------------------------------------------
Received: from [164.180.169.120] by tqhb.FnOYHoyO.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:56 -0500

Received: from [123.141.175.138] by g3i6.1aAXoyJ7.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:42 -0500

Received: from [104.175.156.128] by Jh81.Y6cdKuKo.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:47 -0500

Received: from [164.180.169.120] by tqhb.FnOYHoyO.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:56 -0500
-------------------------------------------

Für mich sieht es so aus, als ob ihre E-Mail Adresse für das Versenden von verseuchten Nachrichten missbraucht worden wäre. Und dies wurde innerhalb von zwei Minuten von mindesten 7 fremden Rechnern zugleich erledigt.

Ist dieses Vorgehen bekannt?

Wie bereits erwähnt wurde ihr PC erst heute eingeschaltet und E-Mail Konto ist auch nicht gehackt, denn der Provider Mailserver taucht in den Sendeketten nicht auf.

Danke im Voraus für euren Input.

Alt 07.06.2015, 19:31   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Verhalten von Trojanern beim Mailversand - Standard

Verhalten von Trojanern beim Mailversand



hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

__________________

__________________

Alt 07.06.2015, 20:02   #3
RainerGL
 
Verhalten von Trojanern beim Mailversand - Standard

Verhalten von Trojanern beim Mailversand



Hallo schrauber,

danke für deine Antwort. Wie oben geschrieben, war ihr PC während die Nachrichten mir ihrer E-Mail Adresse als Absender verschickt wurden definitiv aus und zwar 6 Tage davor und 1,5 Tage danach. Ich kann ihn gerne scannen, bin aber erst am Dienstag bei ihr vor Ort. Aber es wäre die erste Schadsoftware, die bei ausgeschalteter Hardware aktiv wird.

Ist es bekannt, dass solche E-Mails aus einem Bot Netzwerk gleichzeitig von mehreren Rechnern aus mit der identischen gefakten Adresse verschickt werden?

Die IP Adressen aus den Mailheadern, vgl. oben, weisen eindeutig auf unterschiedliche Internet Provider hin.

Gruß,
Rainer
__________________

Alt 08.06.2015, 11:30   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Verhalten von Trojanern beim Mailversand - Standard

Verhalten von Trojanern beim Mailversand



Sorry, nit richtig gelesen

Email Adressen werden meist eh gespooft. Du musst Dir ne Mail wie nen Brief vorstellen.

Draussen auf dem Umschlag steht deine Emailadresse als Absender, aber ob der Brief da drin auch wirklich von Dir ist ist damit nicht bewiesen. Da hat lediglich einer deine Adresse als Absender hin gebastelt.

Trotzdem bekommst Du aber die Mailer-Deamon Nachrichten. Hatte ich auch mal, auf einen Schlag 300 Mails, Boom .

Passwort ändern, gut is.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 08.06.2015, 12:07   #5
RainerGL
 
Verhalten von Trojanern beim Mailversand - Standard

Verhalten von Trojanern beim Mailversand



Spoofen ist mir soweit bekannt. Ich kenne dieses Phänomen bei einzelnen E-Mails, aber für mich waren hierbei einige Punkte neu:

- mehrere Nachrichten von unterschiedlichen IP-Adressen gleichzeitig
- es waren ausschließlich geschäftliche Empfänger ausgesucht (soweit ich es beurteilen kann)
- die E-Mail an sich als eine Antwort auf ein Fax, zielt auch auf den Geschäftsbereich ab

Mir war bis dato eher ein planloses Vorgehen bekannt, aber hier hat man sich richtig Gedanken und Mühe gemacht.

Passwort ändern ist immer gut, wobei hier im Mailheader weder ihre noch die IP-Adresse vom Mailprovider auftaucht, somit wurde hier nur die E-Mail Adresse missbraucht und auch nach einer Änderung kann dies weiterhin geschehen.

Schönen Tag,
Rainer


Alt 08.06.2015, 21:32   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Verhalten von Trojanern beim Mailversand - Standard

Verhalten von Trojanern beim Mailversand



Zitat:
Mir war bis dato eher ein planloses Vorgehen bekannt, aber hier hat man sich richtig Gedanken und Mühe gemacht.
Dann könnte der Account gehackt und das Adressbuch kompromittiert sein. Könnte. Wobei das auch immer nur Theorie ist, nachvollziehbar ist das eh nie.
__________________
--> Verhalten von Trojanern beim Mailversand

Alt 08.06.2015, 21:43   #7
RainerGL
 
Verhalten von Trojanern beim Mailversand - Standard

Verhalten von Trojanern beim Mailversand



Nein, definitiv nicht, da es sich um keine ihr bekannten Empfänger handelt. Ich meinte die Kombination aus reinen Geschäftsadressen und einer eher geschäftlichen E-Mail anstatt "Rechnungen" o.ä. an alle gesammelten Adressen zu verschicken.

Antwort

Themen zu Verhalten von Trojanern beim Mailversand
angeblich, anhang, euren, folge, folgendes, fremde, fremden, gehackt, hallo zusammen, heute, kleine, kleinen, konto, mailheader, meldungen, missbraucht, nachrichten, phänomen, rechner, trojaner, trojanern, urlaub, verhalten, versenden, woche



Ähnliche Themen: Verhalten von Trojanern beim Mailversand


  1. Mailversand über meine Postfächer seit drei Wochen
    Plagegeister aller Art und deren Bekämpfung - 10.10.2015 (3)
  2. Unkontrollierter Mailversand von meiner web.de-Adresse
    Plagegeister aller Art und deren Bekämpfung - 04.10.2015 (18)
  3. Nach Telekom Trojaner START kein Mailversand mehr möglich
    Log-Analyse und Auswertung - 09.12.2014 (26)
  4. Avira Setup startet nicht. Stürzt sofort ab beim Versuch es wieder zu installieren. Und sonstiges komisches Verhalten.
    Log-Analyse und Auswertung - 26.05.2014 (5)
  5. Unerlaubter E-Mailversand - GMX
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (40)
  6. Computer ist extrem langsam, instabil, Bundestrojaner, mailversand
    Plagegeister aller Art und deren Bekämpfung - 11.03.2012 (4)
  7. Probleme mit *.pdf Mailversand nach Bereinigung von HiJack Virus
    Plagegeister aller Art und deren Bekämpfung - 03.11.2011 (1)
  8. Mailversand nicht möglich - Port 25 in Windows 7 HP irgendwie lokal geblockt?
    Alles rund um Windows - 22.09.2011 (3)
  9. Probleme beim entfernen von Trojanern
    Log-Analyse und Auswertung - 21.12.2009 (1)
  10. Komisches verhalten beim booten
    Alles rund um Windows - 08.05.2009 (9)
  11. Benötige Hilfe beim Enfernen von Viren/Trojanern
    Plagegeister aller Art und deren Bekämpfung - 26.06.2007 (23)
  12. Mailversand, aber keine Lösung
    Log-Analyse und Auswertung - 24.12.2006 (6)
  13. Bitte um Hilfe beim HIJack LogFile und Trojanern
    Log-Analyse und Auswertung - 07.08.2006 (2)
  14. Ständiger eigenständiger Mailversand
    Log-Analyse und Auswertung - 24.06.2006 (6)
  15. Merkwürdiges Verhalten beim Surfen (vermutlich Hijacker) + WLAN Konfiguration
    Plagegeister aller Art und deren Bekämpfung - 16.10.2005 (1)
  16. antivir komisches verhalten beim update
    Antiviren-, Firewall- und andere Schutzprogramme - 06.08.2005 (3)
  17. Seltsames Verhalten beim KAV update
    Antiviren-, Firewall- und andere Schutzprogramme - 22.06.2005 (15)

Zum Thema Verhalten von Trojanern beim Mailversand - Hallo zusammen, bei einer Bekannten von mir habe ich heute folgendes Phänomen beobachtet. Sie bekam am Freitagabend innerhalb von zwei Minuten 13 E-Mails von Empfängern mit denen sie noch nie - Verhalten von Trojanern beim Mailversand...
Archiv
Du betrachtest: Verhalten von Trojanern beim Mailversand auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.