kostenloser Webspace werbefrei: lima-city


Was bewirkt eine EXE-Datei im Mail-Anhang?

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    hansheinzgroen

    Kostenloser Webspace von hansheinzgroen

    hansheinzgroen hat kostenlosen Webspace.

    Hallo

    Ich habe eine angebliche Rechnung, von einem angeblichen Inkassobüro bekommen.
    Mir war klar das die nur wollen das ich mir den Mail-Anhang ansehe und draufklicke.

    Auf meinem Windows-PC habe ich VirtualBox installiert mit zwei Ubuntu-Festplatten.
    Eine Festplatte nutze ich für zweifelhafte Aktionen.
    Ich konnte den Mail-Anhang unter Ubuntu nicht öffnen.
    Unter Eigenschaften sehe ich das das eine EXE-Datei ist.

    http://www.picbutler.de/bild/259783/ab2jb80r.jpg

    Was kann alles passieren wenn man so eine Datei unter Windows öffnet?

    Gruß
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Auf keinen Fall öffnen und die Nachricht samt Anhang sofort löschen! Wenn das eine echte Firma währe, dann würden die keine exe-Dateien im Anhang verschicken! Das machen nur Betrüger, die Viren verschicken wollen!
  4. Es könnten z.b. Viren oder andere Schadsoftware drin versteckt sein und dadurch könnte dein System komplett zerstört werden. Ich glaube nämlich nicht, wenn du von einer Firma, die du garnicht kennst eine E-Mail bekommst das der Anhang Virenfrei sein soll.
  5. Autor dieses Themas

    hansheinzgroen

    Kostenloser Webspace von hansheinzgroen

    hansheinzgroen hat kostenlosen Webspace.

    Ich glaube weniger das etwas zerstört werden soll, sondern eher das etwas installiert wird.
  6. Um heraus zu finden was diese EXE wirkloch bewirkt müsstest du sie installieren Dies ist aber auf einem Produktuvsystem nicht zu empfehlen. Auf einem Testrechner oder in einer Sandbox kannst es jedoch versuchen Ich würde die Datei einfach auf virustotal.com hochladen. Die ungefähr ~40 irenscanner lassen dann bestimmte Rpclschlüsse bzw weitere Nachforschungen zu. Sollte wider erwarten keiner der Scanner anschlagen, könnte dies bedeuten dass der Schadcode in der Mail selbst enthalten ist bzw das es sich um noch nicht entdeckte Malware handelt.

    Beitrag zuletzt geändert: 18.7.2012 14:15:33 von galerietbb
  7. so standartfolgen sind keylogger oder adware, oder gleich ein Trojaner der so ziemlich alles hinter sich herziehen kann.

    du kannst ja mal mit einem editor versuchen in die datei reinzugucken, je nachdem was für eine datei ist könnte das sogar klappen.
    Oder wenn du lange weile hast setzte eine windows vm auf und schau was passiert :P
  8. Autor dieses Themas

    hansheinzgroen

    Kostenloser Webspace von hansheinzgroen

    hansheinzgroen hat kostenlosen Webspace.

    galerietbb schrieb:
    Ich würde die Datei einfach auf virustotal.com hochladen. Die ungefähr ~40 irenscanner lassen dann bestimmte Rpclschlüsse bzw weitere Nachforschungen zu. .


    Ich hab sie mal hochgeladen.

    https://www.virustotal.com/file/5c3963f8a2468c49e784dfc9311899abd8df1130a4bcf00cf3788d63e9e52283/analysis/
  9. Wird wohl eine Abwandlung des Zeus-Bot's sein.Die von dir beschriebene Masche wird derzeit anscheinend öfters angwand, siehe dazu http://www.pcwelt.de/news/Vorsicht-Online-Betrueger-versenden-Abmahn-Mail-mit-Virus-6092765.html Der in diesem Artikel genannten Virus ist allerdings nicht identisch mit deinem den der sha256-Hash ist ein anderer.
    Ansonsten wird aber das Verhalten dasselbe sein. 26 / 42 Treffer isz ja auch ein recht eindeutiges Ergebnis, da werden die Vorenschreiber wohl demnächst wieder etwas den Code ändern, damit er wieder einige Stunden/Tage nicht so stark auffällt und sie wieder mehr Rückmeldungen mit Passwörtern bekommen.

    Beitrag zuletzt geändert: 18.7.2012 15:25:48 von galerietbb
  10. f****s

    Das könnte Werbematerial sein aber auch Vieren darum Solltest du die MAIL Sofort Löschen.


    Moderne Vieren werden nicht von Virenscannern erkannt darum solltest du diese Datei nicht herunterladen und nach Vieren Prüfen!!!
  11. Autor dieses Themas

    hansheinzgroen

    Kostenloser Webspace von hansheinzgroen

    hansheinzgroen hat kostenlosen Webspace.

    ftools schrieb:
    Das könnte Werbematerial sein aber auch Vieren darum Solltest du die MAIL Sofort Löschen.



    Ich hab die auf einer Virtuellen Festplatte mit dem Ubuntu-Betriebssystem.
    Bei Windows hab ich mir nicht auf den Dateianhang klicken getraut.
    Ubuntu kann die nicht öffnen weil das eine EXE-Datei ist.
  12. algorithmpalace

    algorithmpalace hat kostenlosen Webspace.

    Das ginge theoretisch mit Wine, würde ich aber nicht machen(in dem Fall)

    Sieht lt Virus Total nach nem Virus/Trojaner aus, 26/43 ist schon nen verlässliches Ergebnis.
  13. Generell sollte man Mails direkt löschen, die einem etwas von Mahnungen,Inkasso, unbezahlter Rechnungen, etc. erzählen wollen.
    Ein paar Hinweise, die auf solche Betrüger/Schadsoftwareverbreitenden Mails hindeuten:

    1.) Ein Rechtsanwalt, Inkassobüro oder Ähnliches schreibt dir keine E-Mail, sondern einen Brief.
    2.) In der Regel sind in solchen Mails Schreibfehler und der Text ist nicht ordentlich formattiert.
    3.) Die Mail hat kein Corporate Design(Logo der Firma,etc.)
    4.) Der Absender ist einem unbekannt, sowie die Firma/Internetseite, der man angeblich das Geld schuldet
    5.) Man hat niemals das Produkt erworben das in der Email steht
    5.) Im Mailanhang sind andere Dateien als PDF's vorhanden ( auch Archive(ZIP/RAR/..) nicht öffnen!!! )
    6.) Es wird von letzter,zweiter oder wiederholter Aufforderung/Mahnung gesprochen obwohl man vorher noch keine E-Mail erhalten hat
    7.) Der eigene Name oder einen Benutzernamen, den man schon einmal benutzt hat, ist kein Indiz dafür, dass die Nachricht echt ist: E-Mail-Adressen und Benutzernamen können auch durch Adresslisten an solche Verteiler gelangen.

    Das sind nur ein paar Punkte, die mir so spontan einfallen und auf die ich selbst achte.
    Ich habe auch schon solche Mails sogar mit Benutzernamen, die ich schon für Portale im Netz genutzt hab.
    Das Portal, wo ich mich aber angeblich angemeldet haben sollte, kannte ich nicht, sowie die genannten Punkte des Designs der Mail trafen zu, also direkt gelöscht und keine Sorgen gemacht.
    Wenn einer klagt oder mahnt, kommt so etwas per Brief...

    Beitrag zuletzt geändert: 22.7.2012 18:08:03 von reimenseimen
  14. g****e

    Soetwas wird gerne als Trojaner verschickt. Mein Vater kriegt öfters EMails, dass er seine EMailadresse (von seiner eigenen Domain) nicht länger benutzen darf, da der Vertrag ausläuft. Kostet jenachdem, welche Mail kommt, unterschiedlich viel. Da hängen dann auch Rechnungen dran, die in doppelter Ausführung sind. Einmal PDF (vermutlich mit unschönem Payload) und eine executable, welche vermutlich nicht nur die Rechnung zeigt.

    Die Leute werden da schon sehr dreißt. Am besten direkt löschen und fertig. Für mich wäre vllt noch interessant den Virus auseinander zu nehmen, die Hosts zu ermitteln usw, um dann denen bissel was zu vermasseln, aber das ist dann nichts für Laien^^

    Liebe Grüße
  15. Eine Firma würde das nie tun. Wenn schon dann den ganzen Text in der E-Mail,aber nicht in einer Datei. Versuche mal Windows auf VBox zu instaliieren und dann öffne sie. Wenn dein virtueller PC nicht mehr startet:Virus etc...
  16. m******e

    andreymoine schrieb:
    Eine Firma würde das nie tun.
    Aber die Angestellten vielleicht, Du Schlaumeier?

    Oder hat etwa jeder Angestellte Ahnung von Viren und deren Beschaffenheit?
  17. Wenn du sehen willst was die Datei angerichtet hätte, wenn du sie geöffnet hättest kannst du sie ja mal in einer VBox oder unter Linux über Wine öffnen.

    (Ich frage mich grad: gibt es wirklich Menschen die auf eine Abmahnung in Form einer ausführbaren Datei hereinfallen ^^)

    Edit:
    ggamee schrieb:
    Für mich wäre vllt noch interessant den Virus auseinander zu nehmen, die Hosts zu ermitteln usw, um dann denen bissel was zu vermasseln, aber das ist dann nichts für Laien^^

    Hans kann uns ja mal die Datei schicken. Vielleicht lässt sich da ja was mit einem deassembler machen ^^

    Beitrag zuletzt geändert: 22.8.2012 15:51:50 von krisi12345
  18. Naja, ich befolge eine einfache Filtermethode:
    Igerndwas Perverses im Titel -> Absender auf Spamliste; löschen
    Ein Anhang+Unbekannt -> Siehe oben
    Unbekanntes + Link auf externe Seite -> Siehe oben

    Am besten du öffnest solche Mails gar nicht, da kann man durchaus ein nettes JavaScript einbauen. Ernsthafte Firmen melden sich per Brief, denn dort kann man auch den Empfang sicher bestätigen und es ist a) seriöser und b) fälschungssicherer.

    Jedes Scriptkiddie kann einen Absender fälschen und Trojanerbaukasten gibt es wie Sand am Meer.

    Wenn du nett bist, downloade die Änhange unter einer neuen Ubuntu-VM und schick sie an ein Virenlabor wie Kaspersky oder Avast!.

    Aber die Angestellten vielleicht, Du Schlaumeier?

    Oder hat etwa jeder Angestellte Ahnung von Viren und deren Beschaffenheit?


    Solange das nicht über einen seriösen Anwalt läuft, hast DU keine Probleme, und die nehmen ausnahmslos Briefe.

    (Ich frage mich grad: gibt es wirklich Menschen die auf eine Abmahnung in Form einer ausführbaren Datei hereinfallen ^^)


    Und wie viele. Leute, die kaum Ahnung von sowas haben wie zB ältere, die ihren PC kaum runterfahren können und Browser mit Internet gleichsetzen. Und auch wenn die Trefferquote gering wäre (das ist sie nicht, solche Leute halten ihren Mail-Adressen kaum geheim :/) kostet das versenden von 10kk Mails nichts; vor allem, wenn du es über einen FreeHoster und PHP machst. Wenn du gut bist, ist es nicht nach zu vollziehen.

    deassembler


    Gibt es eigentlich einen Unterschied zwischen Disassembler und Deassembler? Gibt beides, habs gegoogelt (ich dachte es wär ein Schreibfehler)^^

    Beitrag zuletzt geändert: 22.8.2012 16:16:07 von sebb767
  19. Du könntest dir einen Decompiler besorgen. Ich bekomme solche Dinger häufiger, welche in .Net geschrieben sind. Man bekommt zwar nicht den besten Quellcode, aber man kann in etwa nachvollziehen, was das Ding machen soll.

    Eines ist aber sicher: Es ist nichts gutes. Eine Rechnung/Mahnung als executable wäre unsinn und wird oft verwendet, um Viren/Würmer zu verbreiten. Oftmals sind die Dinger dann als foo.jpg.exe oder foo.pdf.exe benannt.

    Ansonsten bleibt dir nur die Mail als Spam zu behandeln, Mail und Anhang zu löschen... Oder: Den Versender der Email zu ermitteln und zu kontaktieren. Solche Mails sind oft Würmer, welche die Mailaccounts von Personen benutzen, um sich zu verbreiten, oft ohne dass der Betreffende davon Kenntnis hat. Damit gibst du ihm die Gelegenheit, sein System zu säubern oder sein Passwort zum Mail-Account zu ändern. Oder du kontaktierst den Mail-Hoster des Anbieters. Dieser wird dann bestenfalls den Mailaccount sperren, bis der Eigentümer das Passwort geändert hat. Letzteres wäre - zur Einschränkung der Verbreitung - meiner Meinung nach die beste Handlungsweise.

    Zum identifizieren vom Absender: Mails werden oft mit falschem Absender verschickt. Den echten Absender bekommst du aus dem Mail-Header. Am besten informierst du aber auch den angeblichen Versender der Mail. ( Oft Ebay oder ähnliches. ) Wobei populäre Ziele gerne von sich aus darauf hinweisen, dass solche Mails gefährlich sind, könnten unpopuläre solch ein Verhalten einführen.

    Soweit zu meinen Kenntnissen der Reaktionsmöglichkeiten.

    Beitrag zuletzt geändert: 22.8.2012 16:46:41 von notinthetext
  20. notinthetext schrieb:
    Du könntest dir einen Decompiler besorgen. Ich bekomme solche Dinger häufiger, welche in .Net geschrieben sind. Man bekommt zwar nicht den besten Quellcode, aber man kann in etwa nachvollziehen, was das Ding machen soll.

    Eines ist aber sicher: Es ist nichts gutes. Eine Rechnung/Mahnung als executable wäre unsinn und wird oft verwendet, um Viren/Würmer zu verbreiten. Oftmals sind die Dinger dann als foo.jpg.exe oder foo.pdf.exe benannt.

    Ansonsten bleibt dir nur die Mail als Spam zu behandeln, Mail und Anhang zu löschen... Oder: Den Versender der Email zu ermitteln und zu kontaktieren. Solche Mails sind oft Würmer, welche die Mailaccounts von Personen benutzen, um sich zu verbreiten, oft ohne dass der Betreffende davon Kenntnis hat. Damit gibst du ihm die Gelegenheit, sein System zu säubern oder sein Passwort zum Mail-Account zu ändern. Oder du kontaktierst den Mail-Hoster des Anbieters. Dieser wird dann bestenfalls den Mailaccount sperren, bis der Eigentümer das Passwort geändert hat. Letzteres wäre - zur Einschränkung der Verbreitung - meiner Meinung nach die beste Handlungsweise.

    Zum identifizieren vom Absender: Mails werden oft mit falschem Absender verschickt. Den echten Absender bekommst du aus dem Mail-Header. Am besten informierst du aber auch den angeblichen Versender der Mail. ( Oft Ebay oder ähnliches. ) Wobei populäre Ziele gerne von sich aus darauf hinweisen, dass solche Mails gefährlich sind, könnten unpopuläre solch ein Verhalten einführen.

    Soweit zu meinen Kenntnissen der Reaktionsmöglichkeiten.


    Ein Laie kann den Code wohl kaum lesen, eher sollte er ihn an ein Virenlab senden, ansonsten stimme ich dir vollkommen zu.
  21. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!