Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verhalten von Trojanern beim Mailversand (https://www.trojaner-board.de/167679-verhalten-trojanern-beim-mailversand.html)

RainerGL 07.06.2015 17:53
Verhalten von Trojanern beim Mailversand
 
Hallo zusammen,

bei einer Bekannten von mir habe ich heute folgendes Phänomen beobachtet. Sie bekam am Freitagabend innerhalb von zwei Minuten 13 E-Mails von Empfängern mit denen sie noch nie kommuniziert hat und es waren ausschließlich Meldungen der empfangenden Mailserver.

Entweder wird dort berichtet, dass die Nachricht einen virenverseuchten Anhang enthielt oder es den entsprechenden Empfänger gar nicht gibt. Die von ihr angeblich versendeten E-Mails sind wie folgt aufgebaut (mit kleinen Variationen):
Betreff: Re: Fax-22376611-882133864
Body: Fax models: hp-34fd Pages: 3
Anhang: ZIP-Archiv mit einer EXE-Datei

Sie war eine Woche (bis einschließlich gestern Samstag) im Urlaub und ihr PC war die ganze Zeit ausgeschaltet - ich habe es überprüft. Währenddessen las sie die E-Mails auf ihrem iPad. Bei 8 Nachrichten konnte ich die ursprünglichen Mailheader untersuchen und der unterste "Received" Eintrag weist darauf hin, dass die E-Mails von 7 unterschiedlichen IP-Adressen abgeschickt wurden, die nicht von ihr stammen können. Hier sind einige Beispiele (ihreDomäne habe ich eingefügt):

-------------------------------------------
Received: from [164.180.169.120] by tqhb.FnOYHoyO.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:56 -0500

Received: from [123.141.175.138] by g3i6.1aAXoyJ7.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:42 -0500

Received: from [104.175.156.128] by Jh81.Y6cdKuKo.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:47 -0500

Received: from [164.180.169.120] by tqhb.FnOYHoyO.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:56 -0500
-------------------------------------------

Für mich sieht es so aus, als ob ihre E-Mail Adresse für das Versenden von verseuchten Nachrichten missbraucht worden wäre. Und dies wurde innerhalb von zwei Minuten von mindesten 7 fremden Rechnern zugleich erledigt.

Ist dieses Vorgehen bekannt?

Wie bereits erwähnt wurde ihr PC erst heute eingeschaltet und E-Mail Konto ist auch nicht gehackt, denn der Provider Mailserver taucht in den Sendeketten nicht auf.

Danke im Voraus für euren Input.

schrauber 07.06.2015 18:31
hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


RainerGL 07.06.2015 19:02
Hallo schrauber,

danke für deine Antwort. Wie oben geschrieben, war ihr PC während die Nachrichten mir ihrer E-Mail Adresse als Absender verschickt wurden definitiv aus und zwar 6 Tage davor und 1,5 Tage danach. Ich kann ihn gerne scannen, bin aber erst am Dienstag bei ihr vor Ort. Aber es wäre die erste Schadsoftware, die bei ausgeschalteter Hardware aktiv wird. :)

Ist es bekannt, dass solche E-Mails aus einem Bot Netzwerk gleichzeitig von mehreren Rechnern aus mit der identischen gefakten Adresse verschickt werden?

Die IP Adressen aus den Mailheadern, vgl. oben, weisen eindeutig auf unterschiedliche Internet Provider hin.

Gruß,
Rainer

schrauber 08.06.2015 10:30
Sorry, nit richtig gelesen :D

Email Adressen werden meist eh gespooft. Du musst Dir ne Mail wie nen Brief vorstellen.

Draussen auf dem Umschlag steht deine Emailadresse als Absender, aber ob der Brief da drin auch wirklich von Dir ist ist damit nicht bewiesen. Da hat lediglich einer deine Adresse als Absender hin gebastelt.

Trotzdem bekommst Du aber die Mailer-Deamon Nachrichten. Hatte ich auch mal, auf einen Schlag 300 Mails, Boom :D.

Passwort ändern, gut is.

RainerGL 08.06.2015 11:07
Spoofen ist mir soweit bekannt. Ich kenne dieses Phänomen bei einzelnen E-Mails, aber für mich waren hierbei einige Punkte neu:

- mehrere Nachrichten von unterschiedlichen IP-Adressen gleichzeitig
- es waren ausschließlich geschäftliche Empfänger ausgesucht (soweit ich es beurteilen kann)
- die E-Mail an sich als eine Antwort auf ein Fax, zielt auch auf den Geschäftsbereich ab

Mir war bis dato eher ein planloses Vorgehen bekannt, aber hier hat man sich richtig Gedanken und Mühe gemacht.

Passwort ändern ist immer gut, wobei hier im Mailheader weder ihre noch die IP-Adresse vom Mailprovider auftaucht, somit wurde hier nur die E-Mail Adresse missbraucht und auch nach einer Änderung kann dies weiterhin geschehen.

Schönen Tag,
Rainer

schrauber 08.06.2015 20:32
Zitat:
Mir war bis dato eher ein planloses Vorgehen bekannt, aber hier hat man sich richtig Gedanken und Mühe gemacht.
Dann könnte der Account gehackt und das Adressbuch kompromittiert sein. Könnte. Wobei das auch immer nur Theorie ist, nachvollziehbar ist das eh nie.

RainerGL 08.06.2015 20:43
Nein, definitiv nicht, da es sich um keine ihr bekannten Empfänger handelt. Ich meinte die Kombination aus reinen Geschäftsadressen und einer eher geschäftlichen E-Mail anstatt "Rechnungen" o.ä. an alle gesammelten Adressen zu verschicken.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131