Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst UPS Services delivery(at)ups.com - Trojaner -

Mitglied: northern

northern (Level 1) - Jetzt verbinden

08.10.2009 um 09:42 Uhr, 8191 Aufrufe, 8 Kommentare

Guten Morgen!

Ich habe mich heute morgen noch leicht Schlaf-trunken an meinen Rechner gesetzt, meine emails abgerufen und da war dann diese email mit folgendem Text:

Unfortunately we failed to deliver the package which was sent on the 24th of July in time
because the recipient’s address is erroneous.
Please print out the invoice copy attached and collect the package at our office.

United Parcel Service.


Na ja, ich erwarte tatsächlich einige Lieferungen. Diese Bemerkung ist bitte nur als unzureichender und hilfloser Versuch zu begreifen, der erklären soll,
dass ich folgende Handlung unternommen habe. Also ich war wirklich noch umnachtet, habe noch keinen Kaffee getrunken:

Ich habe den Anhang geöffnete, also nicht nur das: der Anhang war eine RAR-Datei: Your UPS-ED71.zip
Diese Datei habe ich entpackt, sehenden Auges eine exe Datei erkannt und auf diese habe ich dann
auch noch zwei mal geklickt.

Nach kurzer Recherche
http://www.zielpublikum.de/2009/06/24/ups-delivery-problem-viruswarnung ...
ist also klar dass es sich um Schadsoftware handelt die zum grössten Teil auch von den
Virenscannern nicht erkannt wird. Ich habe die rar-Datei, die 147 Byte gross ist, noch einmal
von meinem Webmail-Account heruntergeladen, und diese entpackt. Die entpackte exe-Datei
ist 0 Byte gross, also entweder schon von meinem email-Provider gesäubert worden oder es
handelt sich um einen rafinierten Trojaner.
Ich habe dann mal die Systemwiederherstellung benutzt und den Rechner auf den gestrigen Tag
zurückgesetzt.

Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Mitglied: SlainteMhath
08.10.2009 um 09:53 Uhr
Moin,

Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Damit hast Du die Kernpunkte schon selbst erkannt.

Beste und sicherste Lösung: Format C: und neu installieren.

lg,
Slainte
Bitte warten ..
Mitglied: problemsolver
08.10.2009 um 10:49 Uhr
Hallo zusammen,

@SlainteMhath: Format C: *g* lang ist es her, dass das mal funktioniert hat

Eine Neuinstallation dauert ein wenig lang.
Alternative:
Netzwerkkabel abziehen. 2-3 Tage warten, bis die Virendefinitionen bei den Antivirenherstellern integriert sind.
Bei Avira die RescueCD herunterladen und brennen. (Natürlich auf einem anderen Rechner, als dem infizierten!)

Von der BootCD starten. Einstellungen ändern, so dass infizierte Dateien umbenannt werden, wenn Sie gefunden werden.

Fertig.

LG Markus
Bitte warten ..
Mitglied: maretz
08.10.2009 um 12:07 Uhr
Moin,

und was machst du wenn der Virus in den Definitionen nicht erkannt wird? Oder wenn der in der Zwischenzeit schon noch ne andere Backdoor geöffnet hat die bisher nicht bekannt ist?

Bei sowas würde ich auch immer auf Nummer Sicher gehen - und den rechner neu aufsetzen... Und sorry, aber wer heute noch solche Fehler macht der sollte sich in der Zeit der Neuinstallation auch nochmal Gedanken um seinen Umgang mit Emails usw. machen (und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...)
Bitte warten ..
Mitglied: problemsolver
08.10.2009 um 13:15 Uhr
Stimme Dir zu Maretz... eine Installation wäre die "sauberste" Alternative.
Es ist aber auch kein Problem, diese "verdächtige" Zip Datei mit der "noch verdächtigeren EXE-Datei" bei AVIRA zu melden:
http://analysis.avira.com/samples/index.php

Eine Backdoor kann nicht geöffnet werden, sofern Verbindung zu Internet anliegt. (Mal den Fall ausgenommen, dass der Trojaner alle anderen ausführbaren Dateien auf dem System befällt...)

Nach spätestens 2-3 Stunden (!) bekommt man eine E-Mail von Avira über den Status innerhalb der VDF Datei. Nach spätestens 24 Stunden ist dann die "verdächtige Datei" auch im Rescue System. Somit ist der Rechner auch (zumindest von dieser) Schadsoftware zu befreien.

und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...

Full Ack zu der obigen Aussage!

Gruß

Markus
Bitte warten ..
Mitglied: northern
08.10.2009 um 18:40 Uhr
Danke erst mal für die Anteilnahme

Warum die exe durchgekommen ist kann ich euch sagen: ich habe avast nicht entsprechend konfiguriert!

Die RAR-Datei habe ich bei
http://www.virustotal.com/de/
hochgeladen. Alle Ergebnisse waren negativ, es wurde kein Virus/Backdoor erkannt.

Was mich interessieren würde ist folgendes:
Die RAR-Datei ist 147 Byte gross. Die entpackte exe jedoch 0 Byte.
Kann das jemand kommentieren?

@maretz: ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft. Nur heute morgen war ich wohl noch nicht ganz auf der Höhe.
auf den xp Rechnern die ich hinter einem Nat-Router nutze läuft mindestens die Sygate Firewall die ich sehr gut finde,
sowie Winpatrol und wenn genug RAM da ist auch noch TeaTimer um Veränderungen in der Registriy zu bemerken
Bitte warten ..
Mitglied: northern
08.10.2009 um 20:10 Uhr
Ich habe die RAR eben zu avira hochgeladen und folgendes Ergebniss zurückbekommen:

Dateiname Ergebnis
Your_UPS_ed71.exe KNOWN CLEAN

Die Datei 'Your_UPS_ed71.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microworld Technologies mailscan administrator 4.0.1.0' ist.
Bitte warten ..
Mitglied: SlainteMhath
09.10.2009 um 07:47 Uhr
Moin,

also das in dem RAR Archiv bzw. in der 0 Byte "großen" EXE kein Virus (mehr) drin ist hätte ich Dir auch so sagen können - der wurde augenscheinlich schon von dem Hoster deines Webmail Accounts gesäubert.

ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft
Hmmm.. ooook

...Sygate Firewall ... Winpatrol ... TeaTimer ...
Äh, ja, und wie siehts mit Vitrenscannern aus?

lg,
Slainte
Bitte warten ..
Mitglied: northern
09.10.2009 um 07:58 Uhr
Moin!

ich nutze Avast. Und in regelmäßigen Abständen scanne ich mein System mit einem Rootkitscanner (RootkitRevealer) wobei ich zugeben muss daß ich die Ergebnisse nicht immer
richtig zu deuten vermag.

Viele Grüsse

northern
Bitte warten ..
Ähnliche Inhalte
Windows 8

Windows Testseite - Etikettendrucker - UPS

gelöst Frage von BlindzerokillerWindows 813 Kommentare

Hallo ihr lieben, ich habe eine sehr seltsames Problem mit meinem Etiketten Drucker ->Zebra GK420t Dieser soll die Etiketten ...

Viren und Trojaner

Mischa Trojaner. Was nun

Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

VB for Applications

VBA Outlook - Mail delivery system

gelöst Frage von carolin.zeldaVB for Applications5 Kommentare

Hallo zusammen, und zwar habe ich folgendes Problem: Wir arbeiten mit einem Newslettersystem und bekommen sehr oft Emails zurück, ...

Monitoring

SNMP Fehler ABB UPS MIB

Frage von dragoroMonitoring1 Kommentar

Hallo zusammen, ich habe folgende MIB und muss diese in ein Überwachungsprogramm laden. Das lässt mich aber nicht solange ...

Neue Wissensbeiträge
Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 11 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 20 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 1 TagWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...