|
Hallo, ich habe eben zwei eMails gekriegt, angeblich weitergeleitet vom Microsoft-Support. Es handele sich um einen Patch für alle Outlook-Versionen um eine Sicherheitslück beim SMTP-Mailtranfer zu schließen. Piraten hätten so im Februar schon mehrere Milliarden Dollar entwendet. Im Anhang: "Patch_outlook_6.00.12.3.exe" KAV erkennt nichts, aber wahr ist die Geschichte offenbar nicht. Also: entweder was neues, oder ein "verunglückter" Wurm... Ich hab's schon mal an virus@rokop-security.de geschickt. Gruß Hendrik |
Wie lautet denn die Absenderadresse? ciao |
:confused: was muß man tun, um mails von microsoft über patches zu bekommen? kann doch nur ein hoax sein,oder? |
Also wenn eine Endung dran hängt, dann geh ich davon aus, das es ein Wurm ist. [img]smile.gif[/img] Schaun ma mal was die Analyse bringt. Im moment sagt mir die Endung absolut nichts. |
Guckt mal hier in den Thread... ... das Thema kam mir doch irgendwie bekannt vor .. ;) vielleicht lieg ich da ja richtig??? fish |
Der "Absender" ist eine Hotmail.com-Adresse. Ein Hoax mit echtem EXE-Anhang? Soll ich mal probieren? [img]graemlins/headbang.gif[/img] [img]graemlins/balla.gif[/img] [img]graemlins/aplaus.gif[/img] Das Icon sieht freundlich aus... [img]graemlins/heilig.gif[/img] |
Gerade das posting von fish gelesen. Ja, irgendwie ähnlich, aber KAV sollte den Gibe ja erkennen... meine EXE ist 225k groß... Mal sehen, was Bitmaster morgen bei der Analyse findet... |
Wenn du ihn noch hast - ich bin neugierig, schick' einfach mal her. [img]smile.gif[/img] |
@ Hendrik.. Bin auch gespannt was rauskommt.. -- gibste dann mal Bescheid ? [img]smile.gif[/img] greetz, fish |
</font><blockquote>Zitat:</font><hr /> original erstellt von fish: Bin auch gespannt was rauskommt.. </font>[/QUOTE]vielleicht 'ne neue outlook-version? :D :D :D |
@Hendrik: Mir bitte auch :D . E-Mail-Addi im Profil. Danke [img]smile.gif[/img] |
Schick das "vieh" mal bitte zu Gladiator@Gladiator-antivirus.com (ausnahmsweise mal nicht zu virus@gladiator..... weil ich derzeit am anderen PC bin) Michael |
@mmk + cassandra: Eure Mailaddis kann ich also nicht finden im Profil... liegt das an meiner Blindheit? oder meinem Browser? Ansonsten schickt mir die halt per PM wenn Ihr wirklich wollt... @Gladiator: Mail ist raus... Melde Dich, wenn Du irgendeinen Anhaltspunkt hast...! Gruß Hendrik |
</font><blockquote>Zitat:</font><hr />Original erstellt von Hendrik: @mmk + cassandra: Eure Mailaddis kann ich also nicht finden im Profil... liegt das an meiner Blindheit? oder meinem Browser? Ansonsten schickt mir die halt per PM wenn Ihr wirklich wollt... </font>[/QUOTE]Hallo Hendrik, danke für den Hinweis, hab' ich noch gar nicht gemerkt. Im Profil habe ich nämlich stets meine Adresse auf "für alle sichtbar" eingestellt. Anscheinend stimmt in diesem Punkt etwas mit der Forensoftware nicht, denn aktiviert ist es, habe ich eben nochmals überprüft. Edit: Problem gelöst durch Eintrag einer anderen E-Mail-Adresse sowie anschließender, erneuter Änderung. E-Mail-Adresse: markus@mail.klaffke.info Danke! [ 24. März 2003, 05:57: Beitrag editiert von: mmk ] |
Also... *** GANZ BESONDERS GEFAEHRLICHE MALWARE *** LOL! Eugene wird sicherlich seine Freude damit haben *ROFL* Das Teil kopiert sich 1. Nicht selber, dass heisst es steht wo es steht und fuegt lediglich einen Autorun-Eintrag hinzu der zwar darauf schliessen laesst es koennte sich um einen Worm/Trojan handeln, aber nicht wenn man franzoesisch kann (Die sprache meine ich natuerlich *lol*) Weil dort fuegt "es" /farces als parameter hinzu was soviel wie "Scherze" im Deutschen bedeutet. Sprich man kann mit dem Teil sich Bilder und dumme Sprueche anzeigen lassen, es kann sogar eine Formatierung der Festplatte SIMULIEREN. :D Diese ganzen Events kann man dazu noch timen (sprich man kann das zeitlich einstellen wann welcher Scherz erscheinen soll) Es fliegt bei mir demnaechst als Joke Virus mit rein :D Michael |
Danke Michael ! Ich hab das Ding nicht verstanden, weil ich das Französische nicht zu übersetzen wußte. Außerdem ist die von Hendrik versendete Datei, nicht mit der auf der Seite downloadbaren Datei identisch. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Gladiator the green guy: Eugene wird sicherlich seine Freude damit haben *ROFL*</font>[/QUOTE]Ok, Alexei hat z.Zt. die Freude ;) Jetzt auch offiziell Antwort von Kaspersky. >>Added as 'not-virus:Joke.Win32.Farce<< |
LOL yo so heisst der bei mir auch :) Ich bin nur grade beim Engine Update fertig machen - Forge77 wird sich freuen :) sonst haette ich das Update (wenn es denn wirklich was gefaehrliches gewesen waere) als Daily gleich rausgehaun, aber duemmliche Joke "Viren" koennen warten :) Michael |
Hallo Leute, Von der Art her, wie das Ding bei Hendrik angekommen ist und wie es sich präsentiert, kann es nur ein Wurm, Trojaner oder eine Kombination von beidem sein. Der Code ist höchst verdächtig, die Spur führt allerdings auf eine französische Seite mit einer Art Virensimulation o.ä. Ich werde nicht ganz schlau daraus, die Datei ähnelt vom Code her stark an eine Datei die man dort herunterladen kann. Ich hab das File auf jedem Fall einmal zu Kaspersky eingeschickt. Übrigens hat die Datei im Code das Datum vom 22.03.03, könnte also durchaus sein das es etwas ganz Neues und bisher Unerkanntes ist. |
Hallo, bei Rokop war trotz der späten Stunde noch nicht Einsendeschluß: die Datei schreibt unter anderem einen Reg Eintrag zum Autostart. Sobald Kaspersky sich gemeldet hat, gibt's mehr Neuigkeiten. @mmk: willst Du im Ernst die neue OE-Version testen? ;) :D [img]graemlins/crazy.gif[/img] |
Hallo, eigentlich doch prima, daß das nix gefährliches ist. Sowas fehlt ja auf der Welt eigentlich nicht... Aber wenn das sich nicht selber vermehrt, sprich in eMails verschickt, dann hat doch ein krankes blitzblödes Hirn das manuell bewerkstelligen müssen? Ich kenne den Absender bloß garnicht. Gruß Hendrik |
Jetzt wird das Teil durch KAV erkannt... [img]graemlins/daumenhoch.gif[/img] |
Hallo Ihrs, ich habe schon wieder dieses "Virus" gekrigt, diesmal von einem anderen Absender, diesmal als Aufruf für eine Unterschriftensammlung gegen Antisemitismus. Hier mal der Mailheader: Return-path: <klvliles@hotmail.com> Envelope-to: meineaddi@canl.nc Delivery-date: Sat, 29 Mar 2003 01:28:57 +1100 Received: from postfix3-2.free.fr ([213.228.0.169]) by mail.canl.nc with esmtp (Exim 4.12) id 18yuqT-0002Ry-00; Sat, 29 Mar 2003 01:28:38 +1100 Received: from moiir8lzskh76r (strasbourg-4-a7-62-147-194-172.dial.proxad.net [62.147.194.172]) by postfix3-2.free.fr (Postfix) with ESMTP id C1AF8C0F6; Fri, 28 Mar 2003 15:27:07 +0100 (CET) Message-ID: <00c401c2f536$1dc8e760$aec3933e@moiir8lzskh76r> From: "VOEGELE Camille" <klvliles@hotmail.com> To: kzimir@voila.fr Subject: LANCEMENT D'UNE GRANDE PETITION INTERNATIONALE Date: Fri, 28 Mar 2003 14:39:33 +0100 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_008E_01C2F537.D8E4B9B0" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Delivered-To: meineaddi@canl.nc Ob Hotmail wirklich über postfix3-2.free.fr seine eMails laufen lässt? Bei den anderen Mails, die ich kriegte, war eine andere Hotmail-Absenderaddi angegeben, auch über postfix3-2.free.fr Ich kann irgendwo überhaupt nicht glauben, daß das manuell durch einen Menschen verschickt wird. Ich habe mir anderntags dieses Scherz-Erstellungsprogramm von der Seite http://www.appstmd.com/index.php?pag...ad&VoirDown=fa gesaugt, der dafür verantwortlich sein soll. Allerdings kann man damit die erstellten .exe keine Icons, im Gegensatz zu dem "Win32.Farce". Auch werden die damit erstellten exe nicht von KAV erkannt. Ich kriege den Eindruck nicht los, daß das in Wirklichkeit doch eine echte Malware ist und kein Scherzprogramm. Ob sich unsere Profis nochmal genauer damit befassen?? Vielleicht auf Testrechner richtig ausprobieren? Gruß Hendrik |
Doppelposting gelöscht... [ 30. März 2003, 12:15: Beitrag editiert von: Hendrik ] |
Dann ist da echt ein Mensch mit vieeeelll Langeweile und kleinem Hirn der von Hand solchen Kram verschickt... Ich schick' Euch mal die zweite Datei mit anderem Icon und bisschen anderer Grösse zu, für die Briefmarkensammlung... Warum die auch von KAV erkannt wird und die von mir mit dem downloadbaren Generator erstellten nicht? "Meine" zeigen auch kein buntes Icon, im Gegensatz zu dennen, die ich per eMail kriege. Ob die Signatur von KAV vielleicht zu gut/spezifisch ist und die besser bloß das dumme gelbe Kopf-Icon, das in den Dateien allen drin ist, hätten nehmen sollen (oder sonst was allgemeineres)? Dann wären die alle erkannt, und nicht bloß die, die ich immer kriege? Viele Grüße Hendrik |
Die Datei war nicht nur bei Gladi sondern auch bei KAV zur Analyse. Also wird es auch keine Malware sein. Die Datei von Dir unterscheidet sich in der Tat von der Datei, die man auf der Seite herunterladen kann. Daher hatte ich auch zuerst angenommen, es sei eine "modifizierte Scherzdatei". Die Signatur hat Kaspersky von der eingesandten Datei erstellt und nicht von der Download Datei. Daher wird diese vermutlich auch nicht erkannt. |
Also um dem nochmal Nachdruck zu geben wir (ich kann hier zumindest das von mir sagen) haben die Datei gestartet und genauer angesehen und das was ich von Dir hatte ist 100%ig nur insofern malware das Du dieses duemmliche Scherzprogram per Email erhalten hast. Das ist alles es kann sich weder selber ausbreiten (sprich versenden) noch richtet es irgendwelchen wirklichen Schaden an. Wenn ich mich recht entsinne legt das teil sogar einen UNINSTALL EINTRAG im Software Menu an. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board