Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

UPS Services delivery(at)ups.com - Trojaner -

Frage Sicherheit

Mitglied: northern

northern (Level 1) - Jetzt verbinden

08.10.2009 um 09:42 Uhr, 8065 Aufrufe, 8 Kommentare

Guten Morgen!

Ich habe mich heute morgen noch leicht Schlaf-trunken an meinen Rechner gesetzt, meine emails abgerufen und da war dann diese email mit folgendem Text:

Unfortunately we failed to deliver the package which was sent on the 24th of July in time
because the recipient’s address is erroneous.
Please print out the invoice copy attached and collect the package at our office.

United Parcel Service.


Na ja, ich erwarte tatsächlich einige Lieferungen. Diese Bemerkung ist bitte nur als unzureichender und hilfloser Versuch zu begreifen, der erklären soll,
dass ich folgende Handlung unternommen habe. Also ich war wirklich noch umnachtet, habe noch keinen Kaffee getrunken:

Ich habe den Anhang geöffnete, also nicht nur das: der Anhang war eine RAR-Datei: Your UPS-ED71.zip
Diese Datei habe ich entpackt, sehenden Auges eine exe Datei erkannt und auf diese habe ich dann
auch noch zwei mal geklickt.

Nach kurzer Recherche
http://www.zielpublikum.de/2009/06/24/ups-delivery-problem-viruswarnung ...
ist also klar dass es sich um Schadsoftware handelt die zum grössten Teil auch von den
Virenscannern nicht erkannt wird. Ich habe die rar-Datei, die 147 Byte gross ist, noch einmal
von meinem Webmail-Account heruntergeladen, und diese entpackt. Die entpackte exe-Datei
ist 0 Byte gross, also entweder schon von meinem email-Provider gesäubert worden oder es
handelt sich um einen rafinierten Trojaner.
Ich habe dann mal die Systemwiederherstellung benutzt und den Rechner auf den gestrigen Tag
zurückgesetzt.

Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Mitglied: SlainteMhath
08.10.2009 um 09:53 Uhr
Moin,

Fällt jemandem evtl. noch etwas dazu ein außer dass ich selbst Schuld bin wenn mein Rechner jetzt
kompromitiert ist?
Damit hast Du die Kernpunkte schon selbst erkannt.

Beste und sicherste Lösung: Format C: und neu installieren.

lg,
Slainte
Bitte warten ..
Mitglied: problemsolver
08.10.2009 um 10:49 Uhr
Hallo zusammen,

@SlainteMhath: Format C: *g* lang ist es her, dass das mal funktioniert hat

Eine Neuinstallation dauert ein wenig lang.
Alternative:
Netzwerkkabel abziehen. 2-3 Tage warten, bis die Virendefinitionen bei den Antivirenherstellern integriert sind.
Bei Avira die RescueCD herunterladen und brennen. (Natürlich auf einem anderen Rechner, als dem infizierten!)

Von der BootCD starten. Einstellungen ändern, so dass infizierte Dateien umbenannt werden, wenn Sie gefunden werden.

Fertig.

LG Markus
Bitte warten ..
Mitglied: maretz
08.10.2009 um 12:07 Uhr
Moin,

und was machst du wenn der Virus in den Definitionen nicht erkannt wird? Oder wenn der in der Zwischenzeit schon noch ne andere Backdoor geöffnet hat die bisher nicht bekannt ist?

Bei sowas würde ich auch immer auf Nummer Sicher gehen - und den rechner neu aufsetzen... Und sorry, aber wer heute noch solche Fehler macht der sollte sich in der Zeit der Neuinstallation auch nochmal Gedanken um seinen Umgang mit Emails usw. machen (und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...)
Bitte warten ..
Mitglied: problemsolver
08.10.2009 um 13:15 Uhr
Stimme Dir zu Maretz... eine Installation wäre die "sauberste" Alternative.
Es ist aber auch kein Problem, diese "verdächtige" Zip Datei mit der "noch verdächtigeren EXE-Datei" bei AVIRA zu melden:
http://analysis.avira.com/samples/index.php

Eine Backdoor kann nicht geöffnet werden, sofern Verbindung zu Internet anliegt. (Mal den Fall ausgenommen, dass der Trojaner alle anderen ausführbaren Dateien auf dem System befällt...)

Nach spätestens 2-3 Stunden (!) bekommt man eine E-Mail von Avira über den Status innerhalb der VDF Datei. Nach spätestens 24 Stunden ist dann die "verdächtige Datei" auch im Rescue System. Somit ist der Rechner auch (zumindest von dieser) Schadsoftware zu befreien.

und sofern die Person in der EDV sitzt auch: Warum kommt überhaupt ne exe per Mail durch? Selbst innerhalb einer Zip wird das normal sofort erkannt und vernichtet...

Full Ack zu der obigen Aussage!

Gruß

Markus
Bitte warten ..
Mitglied: northern
08.10.2009 um 18:40 Uhr
Danke erst mal für die Anteilnahme

Warum die exe durchgekommen ist kann ich euch sagen: ich habe avast nicht entsprechend konfiguriert!

Die RAR-Datei habe ich bei
http://www.virustotal.com/de/
hochgeladen. Alle Ergebnisse waren negativ, es wurde kein Virus/Backdoor erkannt.

Was mich interessieren würde ist folgendes:
Die RAR-Datei ist 147 Byte gross. Die entpackte exe jedoch 0 Byte.
Kann das jemand kommentieren?

@maretz: ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft. Nur heute morgen war ich wohl noch nicht ganz auf der Höhe.
auf den xp Rechnern die ich hinter einem Nat-Router nutze läuft mindestens die Sygate Firewall die ich sehr gut finde,
sowie Winpatrol und wenn genug RAM da ist auch noch TeaTimer um Veränderungen in der Registriy zu bemerken
Bitte warten ..
Mitglied: northern
08.10.2009 um 20:10 Uhr
Ich habe die RAR eben zu avira hochgeladen und folgendes Ergebniss zurückbekommen:

Dateiname Ergebnis
Your_UPS_ed71.exe KNOWN CLEAN

Die Datei 'Your_UPS_ed71.exe' wurde als 'KNOWN CLEAN' eingestuft. Dies bedeutet, dass wir keine gefährlichen Inhalte finden konnten. Weiterhin haben wir festgestellt, dass diese Datei ein Bestandteil von 'Microworld Technologies mailscan administrator 4.0.1.0' ist.
Bitte warten ..
Mitglied: SlainteMhath
09.10.2009 um 07:47 Uhr
Moin,

also das in dem RAR Archiv bzw. in der 0 Byte "großen" EXE kein Virus (mehr) drin ist hätte ich Dir auch so sagen können - der wurde augenscheinlich schon von dem Hoster deines Webmail Accounts gesäubert.

ich bin eigentlich fast schon zu paranoid was Sicherheit betrifft
Hmmm.. ooook

...Sygate Firewall ... Winpatrol ... TeaTimer ...
Äh, ja, und wie siehts mit Vitrenscannern aus?

lg,
Slainte
Bitte warten ..
Mitglied: northern
09.10.2009 um 07:58 Uhr
Moin!

ich nutze Avast. Und in regelmäßigen Abständen scanne ich mein System mit einem Rootkitscanner (RootkitRevealer) wobei ich zugeben muss daß ich die Ergebnisse nicht immer
richtig zu deuten vermag.

Viele Grüsse

northern
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Server-Hardware
APC UPS Network Management Card 2 (4)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Peripheriegeräte
gelöst APC Back UPS PRO USV 1200VA, Probleme bei der Verbindung zum Mac und PC (15)

Frage von IFNNTNF zum Thema Peripheriegeräte ...

Hardware
gelöst Smart-UPS SMT750l Management-Card 2 (2)

Frage von Stivo1994 zum Thema Hardware ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...