W32/Injector.OKRH!tr
 

Ich habe eine Email von einem Vereinskollegen erhalten. Diese enthielt ueber dem Text eines reellen vereinsinternen Mails, das es so auch tatsaechlich gab, folgende Zeilen:
Klingt interessant
Das Passwort ist:8275
Angehaengt war eine Datei qbpobe.zip. In der ZIP-Datei befindet sich die MS-DOS Datei qizdkaabqoowm.com. Wenn man auf diese Datei doppelklickt (in Sandboxie), erscheint ein Fenster mit einem Schluessel-Logo und einem Feld zur Eingabe des Passwortes. Dies habe ich dann nicht weiter durchgefuehrt.
Bei Virustotal (https://www.virustotal.com/de/file/6c66f61e864050d40f40de6828e95713434beee8c3c9686e374372b4bfb1ea68/analysis/1457768223/) war das Ergebnis fuer qbpobe.zip lediglich ein einziger Fund: Fortinet WS32/Injector.OKRH!tr. Die entpackte Datei qizdkaabqoowm.com habe ich bisher nicht untersuchen lassen.

Mein Vereinskollege hat also wahrscheinlich diesen Virus WS32/Injector.OKRH!tr auf seinem Rechner aktiv. Kann mir bitte jemand von Euch Experten bestaetigen, was der Virus auf dessen Rechner angestellt hat oder haben koennte, insbesondere ob der Virus ausser Spam versenden auch eventuell Dateien entwendet und somit Informationen wie Kontodaten der Vereinsmitglieder, die unverschluesselt auf dessen Rechner lagen, nun in den Haenden fremder Personen sein koennten?

Die Datei qbpobe.zip lade ich ueber Euren Upload-Channel hoch.

Danke fuer Eure Hilfe.

:hallo:


genau kann ich dir nicht sagen, was diese Variant machen kann bzw. gemacht hat. Dazu müsste ich sehen, was sich da alles tummelt. ;)

Dein Kollege möge doch bitte seine privaten Daten sichern und den Rechner neu aufsetzen.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.