Hi,
ich freue mich ja, wenn ich auchmal einen Virus als Dateianhang
einer Email bekomme:
From: Rechnungsstelle Pay Online AG <inkasso@giropay.de>
Eine Zahlungsaufforderung mit doppelt gezippten Windowsprogramm
als Anhang.
Ausgepackt heißt die Datei:
"[Mein voller Name] Forderung - Rechnungsstelle Pay Online AG.com"
Der Header des Programmes beginnt nun mit "MZ"
und ein paar Byte weiter das obligatorische "this program cannot be run...",
Ich habe da mit "mcedit" und seiner hex-Ansicht mal reingeguckt,
um vlt. irgendeine lesbare URL zu finden, da stehen aber lesbar nur
die Funktionsaufrufe, getaddrinfo.ws2_32.dll z.B..
Am Ende noch ein paar rätselhafte Worte:
"Broadcasting ... Philandered ... Apothem ..."
Mittendrin ist auch noch ein großer ASCII-Block, aber der sieht verschlüsselt aus.
...na egal, der Linux-Mint-Desktop hier bietet mir zwar an,
das Ding mit "mono-runtime" zum Laufen zu bringen,
aber ich schätze mal, das wird nix,
hab ja hier nichtmal ne "ws2_32.dll" .
Wie weit komme ich denn, um rauszukriegen, woher das Ding kommt?
Ich habe schon ne Whois-Abfrage mit "whois giropay.de" gemacht,
aber was sagt mir das?
thx