Wo steckt die Virenschleuder?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hi,
    ich freue mich ja, wenn ich auchmal einen Virus als Dateianhang
    einer Email bekomme:

    From: Rechnungsstelle Pay Online AG <inkasso@giropay.de>
    Eine Zahlungsaufforderung mit doppelt gezippten Windowsprogramm
    als Anhang.
    Ausgepackt heißt die Datei:
    "[Mein voller Name] Forderung - Rechnungsstelle Pay Online AG.com"
    Der Header des Programmes beginnt nun mit "MZ"
    und ein paar Byte weiter das obligatorische "this program cannot be run...",
    Ich habe da mit "mcedit" und seiner hex-Ansicht mal reingeguckt,
    um vlt. irgendeine lesbare URL zu finden, da stehen aber lesbar nur
    die Funktionsaufrufe, getaddrinfo.ws2_32.dll z.B..
    Am Ende noch ein paar rätselhafte Worte:
    "Broadcasting ... Philandered ... Apothem ..."
    Mittendrin ist auch noch ein großer ASCII-Block, aber der sieht verschlüsselt aus.

    ...na egal, der Linux-Mint-Desktop hier bietet mir zwar an,
    das Ding mit "mono-runtime" zum Laufen zu bringen,
    aber ich schätze mal, das wird nix,
    hab ja hier nichtmal ne "ws2_32.dll" :) .

    Wie weit komme ich denn, um rauszukriegen, woher das Ding kommt?
    Ich habe schon ne Whois-Abfrage mit "whois giropay.de" gemacht,
    aber was sagt mir das?

    thx

    "Volt, Watt, Ampere, Ohm, ohne mich gibts keinen Strom"

    Der Elektrolurch (Guru Guru)

  • Auszug:

    ...
    Return-Path: <inkasso@giropay.de>
    ...
    Received: from gateway34.websitewelcome.com (gateway34.websitewelcome.com [192.185.148.164])
    ...
    Received: from cm5.websitewelcome.com (cm5.websitewelcome.com [192.185.178.233])
    ...
    Received: from e2.ehosts.com ([108.167.160.14])
    ...
    Received: from congreso by e2.ehosts.com with local (Exim 4.86)
    (envelope-from <inkasso@giropay.de>)


    Sagt das was ?
    thx

    "Volt, Watt, Ampere, Ohm, ohne mich gibts keinen Strom"

    Der Elektrolurch (Guru Guru)

  • Wenn der unterste Eintrag im Header

    Zitat

    Received: from e2.ehosts.com ([108.167.160.14])


    ist,
    kommt das von "108.167.160.14"

    Ob ein Server eines deutschen Internetzahlungsdienstes seine Mailserver wirklich auf auf einer Seite eines ISP aus Houton, TX, hat?

    Besonders, wenn die MX-Records auf


    stehen ;)

    Computer ..... grrrrrr

    Einmal editiert, zuletzt von Rasp-Berlin (15. Februar 2016 um 20:51)

  • "From:" kann man leicht faken, das ist keine Hexerei. Was aber schwieriger wird ist der Header, diese Mühe macht sich kaum jemand zumal das von jeder "Zweigstelle" bearbeitet wird.

    Heutzutage wird aber eigentlich kein Virus mehr verschickt bzw es gibt kaum noch neue Viren - wahrscheinlicher wäre deshalb ein Trojaner oder Spyware.

    Aber was bringt es dir zu ergründen woher die Mail kommt?

  • Ich finde das einfach mal spannend und hab grad kein Bock zu Löten :)
    Zudem macht mich der Text wütend:

    Zitat


    unsere Zahlungserinnerung blieb bisher leider erfolglos. Heute gewähren wir Ihnen damit letztmalig die Möglichkeit, den nicht gedeckten Betrag unseren Mandanten Pay Online AG zu überweisen.

    Die detaillierte Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei. Wir erwarten die Überweisung inklusive der Zusatzgebühren bis zum 17.02.2016 auf unser Bankkonto.

    Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen zuzüglich, die durch unsere Tätigkeit entstandene Gebühren von 86,76 Euro zu bezahlen. Die Höhe der Forderung kann durch kürzlich berechneter Verzugszinsen abweichen. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen.

    Mit verbindlichen Grüßen

    Rechnungsstelle Malte Bebel


    Heißt das nicht "unserem Mandanten" ?
    Mit der "Pay Online AG" hatte und habe ich jedenfalls nichts zutun.
    Die wollen jedenfalls unbedingt, daß man als Windows User auf den Anhang klickt.
    Tja und das ist nun eindeutig ne M$.EXE
    Den Begriff "Trojaner" finde ich verharmlosend, weil es sich um ein natives Windows-Kompilat handelt.
    Wer weiß, was das anstellt, wenn mans laufen läßt.

    Hab hier nochwas gefunden in der Message ID:
    medicinaintegralqueretaro.com
    whois:

    Domain Name: MEDICINAINTEGRALQUERETARO.COM
    Registrar: GODADDY.COM, LLC
    Sponsoring Registrar IANA ID: 146
    Whois Server: whois.godaddy.com
    Referral URL: http://www.godaddy.com
    Name Server: NS103.EHOSTS.COM
    Name Server: NS104.EHOSTS.COM
    Status: clientDeleteProhibited https://www.icann.org/epp#clientDeleteProhibited
    Status: clientRenewProhibited https://www.icann.org/epp#clientRenewProhibited
    Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
    Status: clientUpdateProhibited https://www.icann.org/epp#clientUpdateProhibited
    Updated Date: 26-jan-2016
    Creation Date: 24-aug-2014
    Expiration Date: 24-aug-2016

    Auf "GODADDY.COM" hab ich auch nochmal ne whois-Abfrage gemacht,
    da kommt dann aber ne Riesenliste.

    "Volt, Watt, Ampere, Ohm, ohne mich gibts keinen Strom"

    Der Elektrolurch (Guru Guru)

  • Servus,

    wird halt der Locky sein...

    (EXE in ZIP) in ZIP kenne ich:
    Hab ein ganz ähnliches Spam-e-mail erhalten und habe mir die Sache - natürlich unter Linux - angesehen.

    Die angewendete Masche für die anvisierten 0815-Anwender ist ganz klar:
    Erstes ZIP entpacken... Da gibt der Anwender noch Obacht...
    Es erscheint noch ein ZIP (Was, der Doppelklick hat nicht gefunzt?)
    Es wird nochmals entpackt, der Geduldsfaden beim Anwender ist eh schon gerissen...
    Doppelklick unter Windows auf die EXE ... und der Rechner ist infiziert!

    In diesem Zusammenhang besonders gefährlich:
    In Systemsteuerung-->Ordneroptionen die Option "Dateierweiterung bei bekannten Dateitypen ausblenden" mit einem Häkchen aktiviert lassen. Dies ist bei Windows nach einer Standardinstallation immer der Fall!
    Da sieht man im Windows-Explorer dann eine Datei namens Rechnung.pdf, in Wirklichkeit heißt sie aber Rechnung.pdf.exe! Als Icon ist in die Virus-EXE noch das PDF-Logo vom Acrobat-Reader eingebunden, damit's besonders unverdächtig aussieht.
    Also: Rein in die Systemsteuerung und raus mit dieser schwachsinnigen(?) aber mitunter gefährlichen Option!


    Mir ist das egal:
    1. Wenn jemand von mir Geld über eine Mahnung/Inkasso oder so will, dann muss er sich schon die Mühe geben, mir ein Schreiben mit echter Papier-Post zu schicken.
    2. Wenn ich mir sowas tatsächlich anschaue (weil ich einfach gerade neugierig bin, so wie Heinrich), dann nur unter Linux!

    viele Grüße

    Peter

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!