Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

UPS Services delivery(at)ups.com - Trojaner -

Frage Sicherheit

Mitglied: northern

northern (Level 1) - Jetzt verbinden

08.10.2009 um 09:42 Uhr, 8180 Aufrufe, 8 Kommentare

Guten Morgen!

Ich habe mich heute morgen noch leicht Schlaf-trunken an meinen Rechner gesetzt, meine emails abgerufen und da war dann diese email mit folgendem Text:

Unfortunately we failed to deliver the package which was sent on the 24th of July in time
because the recipient’s address is erroneous.
Please print out the invoice copy attached and collect the package at our office.

United Parcel Service.


Na ja, ich erwarte tatsächlich einige Lieferungen. Diese Bemerkung ist bitte nur als unzureichender und hilfloser Versuch zu begreifen, der erklären soll,
dass ich folgende Handlung unternommen habe. Also ich war wirklich noch umnachtet, habe noch keinen Kaffee getrunken:

Ich habe den Anhang geöffnete, also nicht nur das: der Anhang war eine RAR-Datei: Your UPS-ED71.zip
Diese Datei habe ich entpackt, sehenden Auges eine exe Datei erkannt und auf diese habe ich dann
auch noch zwei mal geklickt.

Nach kurzer Recherche
http://www.zielpublikum.de/2009/06/24/ups-delivery-problem-viruswarnung ...
ist also klar dass es sich um Schadsoftware handelt die zum grössten Teil auch von den
Virenscannern nicht erkannt wird. Ich habe die rar-Datei, die 147 Byte gross ist, noch einmal
von meinem Webmail-Account heruntergeladen, und diese entpackt. Die entpackte exe-Datei
ist 0 Byte gross, also entweder schon von meinem email-Provider gesäubert worden oder es
handelt sich um einen rafinierten Trojaner.
Ich habe dann mal die Systemwiederherstellung benutzt und den Rechner auf den gestrigen Tag
zurückgesetzt.

Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Mitglied: SlainteMhath
08.10.2009 um 09:53 Uhr
Moin,

Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Damit hast Du die Kernpunkte schon selbst erkannt.

Beste und sicherste Lösung: Format C: und neu installieren.

lg,
Slainte
Bitte warten ..
Mitglied: problemsolver
08.10.2009 um 10:49 Uhr
Hallo zusammen,

@SlainteMhath: Format C: *g* lang ist es her, dass das mal funktioniert hat

Eine Neuinstallation dauert ein wenig lang.
Alternative:
Netzwerkkabel abziehen. 2-3 Tage warten, bis die Virendefinitionen bei den Antivirenherstellern integriert sind.
Bei Avira die RescueCD herunterladen und brennen. (Natürlich auf einem anderen Rechner, als dem infizierten!)

Von der BootCD starten. Einstellungen ändern, so dass infizierte Dateien umbenannt werden, wenn Sie gefunden werden.

Fertig.

LG Markus
Bitte warten ..
Mitglied: maretz
08.10.2009 um 12:07 Uhr
Moin,

und was machst du wenn der Virus in den Definitionen nicht erkannt wird? Oder wenn der in der Zwischenzeit schon noch ne andere Backdoor geöffnet hat die bisher nicht bekannt ist?

Bei sowas würde ich auch immer auf Nummer Sicher gehen - und den rechner neu aufsetzen... Und sorry, aber wer heute noch solche Fehler macht der sollte sich in der Zeit der Neuinstallation auch nochmal Gedanken um seinen Umgang mit Emails usw. machen (und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...)
Bitte warten ..
Mitglied: problemsolver
08.10.2009 um 13:15 Uhr
Stimme Dir zu Maretz... eine Installation wäre die "sauberste" Alternative.
Es ist aber auch kein Problem, diese "verdächtige" Zip Datei mit der "noch verdächtigeren EXE-Datei" bei AVIRA zu melden:
http://analysis.avira.com/samples/index.php

Eine Backdoor kann nicht geöffnet werden, sofern Verbindung zu Internet anliegt. (Mal den Fall ausgenommen, dass der Trojaner alle anderen ausführbaren Dateien auf dem System befällt...)

Nach spätestens 2-3 Stunden (!) bekommt man eine E-Mail von Avira über den Status innerhalb der VDF Datei. Nach spätestens 24 Stunden ist dann die "verdächtige Datei" auch im Rescue System. Somit ist der Rechner auch (zumindest von dieser) Schadsoftware zu befreien.

und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...

Full Ack zu der obigen Aussage!

Gruß

Markus
Bitte warten ..
Mitglied: northern
08.10.2009 um 18:40 Uhr
Danke erst mal für die Anteilnahme

Warum die exe durchgekommen ist kann ich euch sagen: ich habe avast nicht entsprechend konfiguriert!

Die RAR-Datei habe ich bei
http://www.virustotal.com/de/
hochgeladen. Alle Ergebnisse waren negativ, es wurde kein Virus/Backdoor erkannt.

Was mich interessieren würde ist folgendes:
Die RAR-Datei ist 147 Byte gross. Die entpackte exe jedoch 0 Byte.
Kann das jemand kommentieren?

@maretz: ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft. Nur heute morgen war ich wohl noch nicht ganz auf der Höhe.
auf den xp Rechnern die ich hinter einem Nat-Router nutze läuft mindestens die Sygate Firewall die ich sehr gut finde,
sowie Winpatrol und wenn genug RAM da ist auch noch TeaTimer um Veränderungen in der Registriy zu bemerken
Bitte warten ..
Mitglied: northern
08.10.2009 um 20:10 Uhr
Ich habe die RAR eben zu avira hochgeladen und folgendes Ergebniss zurückbekommen:

Dateiname Ergebnis
Your_UPS_ed71.exe KNOWN CLEAN

Die Datei 'Your_UPS_ed71.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microworld Technologies mailscan administrator 4.0.1.0' ist.
Bitte warten ..
Mitglied: SlainteMhath
09.10.2009 um 07:47 Uhr
Moin,

also das in dem RAR Archiv bzw. in der 0 Byte "großen" EXE kein Virus (mehr) drin ist hätte ich Dir auch so sagen können - der wurde augenscheinlich schon von dem Hoster deines Webmail Accounts gesäubert.

ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft
Hmmm.. ooook

...Sygate Firewall ... Winpatrol ... TeaTimer ...
Äh, ja, und wie siehts mit Vitrenscannern aus?

lg,
Slainte
Bitte warten ..
Mitglied: northern
09.10.2009 um 07:58 Uhr
Moin!

ich nutze Avast. Und in regelmäßigen Abständen scanne ich mein System mit einem Rootkitscanner (RootkitRevealer) wobei ich zugeben muss daß ich die Ergebnisse nicht immer
richtig zu deuten vermag.

Viele Grüsse

northern
Bitte warten ..
Ähnliche Inhalte
Windows 8
Windows Testseite - Etikettendrucker - UPS
gelöst Frage von BlindzerokillerWindows 813 Kommentare

Hallo ihr lieben, ich habe eine sehr seltsames Problem mit meinem Etiketten Drucker ->Zebra GK420t Dieser soll die Etiketten ...

Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

VB for Applications
VBA Outlook - Mail delivery system
gelöst Frage von carolin.zeldaVB for Applications5 Kommentare

Hallo zusammen, und zwar habe ich folgendes Problem: Wir arbeiten mit einem Newslettersystem und bekommen sehr oft Emails zurück, ...

Monitoring
SNMP Fehler ABB UPS MIB
Frage von dragoroMonitoring1 Kommentar

Hallo zusammen, ich habe folgende MIB und muss diese in ein Überwachungsprogramm laden. Das lässt mich aber nicht solange ...

Neue Wissensbeiträge
Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 58 MinutenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 23 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 4 TagenInternet19 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Brainstorming, einfachste Option 1 getrenntes LAN (mit WAN zugang)
Frage von 132954LAN, WAN, Wireless13 Kommentare

Hi, folgendes: Wir bekommen eine Glasfaser Leitung, Und das sollte Optional so aussehen: Ein Modem/Router für das WAN, ein ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement12 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...