|
Aktuell besonders heimtückische Viren unterwegs Hallo TPCler, ich bin keiner der Achtung schreit aber was aktuell so läuft wollte ich dann doch mal bekannt machen. Ich habe in den letzten Tagen auf div. Emailadressen die typische Zipdatei mit einer EXE Datei drinne bekommen. Soweit ein alter Hut allerdings wird die enthaltene EXE Datei von so gut wie keinem Virenscanner entdeckt und das wiederholt. Bei der Analyse dieser Dateien über mehrere Tage durch Virustotal erkannte gerade einmal einer von 51 Scannern die Datei heute ist es der dritte Tag in Folge. Die Dateien ändern sich aber der grundlegende Aufbau nicht. Es wird immer Code aus der Resutils.dll verwendet sowie wird eine CAB und Gif Datei geschrieben. Auch baut das Programm z.B. eine Verbindung zum Windowsupdate auf. Die wenigsten werden einen unbekannten Anhang öffnen aber da diese Dateien so schlecht erkannt werden aktuell wollte ich darauf aufmerksam machen. Edit: Hier auf Anfrage mal der Nachrichtentext: 02.06 (Verwendet rsaenh.dll um verschlüsselte Inhalte zu laden und patcht Wordpad.exe um eine spezielle DOC zu laden) (Einige Nummer usw. durch ZAHL ersetzt) Betreff: Bestellnummer <ZAHL> Inhalt: [code]Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen! Ihre Bestellung #<ZAHL> wird 05.06.2014 verschickt werden. Datum: 02.06.2014 15:52:27 Summe: €128.84 Bezahlungstyp: Banküberweisung Transaktionsnummer: <HEXZAHL> Die Gesamtrechnung werden Sie in der Datei reservierung7477.zip finden Mit freundlichen Grüßen, Verkaufsabteilung Ortrud-Elisabeth Weinberg +4965349333279[/code] 27.05 Betreff: "pearlized :)" Inhalt: [code]30% der Männer fragen nach dem Sex: "Wie war ich?" Die anderen 70% reden nicht mit ihrer Hand! Albi Bäumer[/code] 26.05 Betreff: fax aus "+49(0)30 199 671 46" - 1 seiten Inhalt: [code]Faxnachricht [Caller-ID: +49(0)30 199 671 46] Seiten: 1. Datum: 2014.05.13 09:48:07 UTC. Kennziffer: B51855FC1651FE7962B.[/code] 19.05 Betreff: fax aus "+49(0)30 967 123 74" - 21 seiten Inhalt: [code]Faxnachricht [Caller-ID: +49(0)30 967 123 74] Seiten: 21. Datum: 2014.05.13 13:49:09 UTC. Kennziffer: 4A854650546007039A7.[/code] |
AW: Aktuell besonders heimtückische Viren unterwegs habs auch gleich 2 mal auf meine gut geschützte arbeitsadresse bekommen... verwunderliche sache, die müssen gut sein. |
AW: Aktuell besonders heimtückische Viren unterwegs Poste mal den text der Spam Mail, dann kann man schnell besser sehen welcher gemeint ist... Ich bekomme so viel von dem Kram ich achte da schon fast gar nicht mehr drauf und exe öffne ich halt eh nicht aus mails. |
AW: Aktuell besonders heimtückische Viren unterwegs wer so lieb fragt, dem wird gegeben. folgende form: [quote]Betreff Absender Zeitstempel Anhang "Text"[/quote]1 [quote][FONT=Arial]tyrocidine :)[/FONT][COLOR=#222222][FONT=Calibri][FONT=Arial]Friedesine Kuntz <[EMAIL="pushy@politeiaconsulting.de"]pushy@politeiaconsulting.de[/EMAIL]>[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]Di 27.05.2014 15:48[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]reeds.zip (26 KB)[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]"Was macht die Frau wenn ihr Mann aus dem Fenster springt? Sie sagt: "Nimm den Müll mit!"[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]Friedesine Kuntz"[/FONT][/FONT][/COLOR][/quote][COLOR=#222222][FONT=Calibri][FONT=Arial]2 [quote]soliloquist :)[/quote][/FONT][/FONT][/COLOR][quote] [COLOR=#222222][FONT=Calibri][FONT=Arial]Aláettin Buchmann <[EMAIL="objurgatory@weitbrecht.de"]objurgatory@weitbrecht.de[/EMAIL]>[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]Di 27.05.2014 15:20[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]sluttishly.zip (26 KB)[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]"Warum hat Gott zuerst den Mann erschaffen? Er brauchte einen Entwurf![/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]Aláettin Buchmann"[/FONT][/FONT][/COLOR][/quote][COLOR=#222222][FONT=Calibri][FONT=Arial] 3 [quote]Guten Morgen von Subha[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]Subha <[EMAIL="suspender@ambetdesign.de"]suspender@ambetdesign.de[/EMAIL]>[/FONT][/FONT][/COLOR] [FONT=Arial]Mi 28.05.2014 09:32[/FONT][COLOR=#222222][FONT=Calibri][FONT=Arial]guten_morgen_676.zip (26 KB)[/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]"Es war heute ein grausig verregneter Morgen. Da habe ich mit Honig deinen Namen auf mein Butterbrot geschrieben - und so ist der Tag wieder sonnig geworden!!![/FONT][/FONT][/COLOR] [COLOR=#222222][FONT=Calibri][FONT=Arial]Subha"[/FONT][/FONT][/COLOR][/quote] |
AW: Aktuell besonders heimtückische Viren unterwegs Habe meinen Fred editiert vor einiger Zeit :P |
AW: Aktuell besonders heimtückische Viren unterwegs Gerade ne SMS bekommen: [quote] Whatsapp Mailbox Neue Nachricht für [mein name] von [einem meiner kontakte] : Sprache: 0, SMS: 1, Fax: 0, hier checken: [url=http://whatsappmailbox.com]Unlimited Free Calling & Texting | Upptalk[/url], 30.05.2014 [/quote] Weder habe ich Whatsapp, noch kann ich mir einen Reihm draus machen, welche App dort spioniert. |
AW: Aktuell besonders heimtückische Viren unterwegs Upptalk (vormals Yuilop) scheint vielleicht installiert zu sein? ^^ |
AW: Aktuell besonders heimtückische Viren unterwegs Wieder ne neue Mail die nicht erkannt wird mit Anhang wiedermal verschlüsselt habe den Text oben gepostet. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:46 Uhr. |
Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.