Heute kam der Trojaner Blackhole in einem neuen Gewand. From: HamzaKiewiet@t-arend.de To: <thomas@t-arend.de> Subject: Re: Changelog New Date: Fri, 30 Nov 2012 11:01:32 +0100 Good morning, changelog update – View I. LENTZ Die Obfuskierung ist nun etwas „komplexer“. Etwa jedes 8te Zeichen ist ein „=“. Dieses und das nachfolgende Zeichen werden ignoriert. Die aus zwei… Trojaner: Blackhole weiterlesen
Kategorie: Viren, Würmer und anderes Getier
In dieser Kategorie erscheinen Artikel über Viren, Würmer und anderes Getier, dass sich nicht nur in freier Natur findet.
ssh-Angriffe
Normalerweise kommen die Angreifer nie zweimal. Dies hat sich aber wohl geändert. Sie machen jetzt ein paar Stunden Pause zwischen den Angriffen. Hier die Kameraden des heutigen Tages. 199.188.74.228 221.182.247.37 223.4.180.93 69.162.121.226 81.169.173.31 88.191.234.106
Spam: Payment ID 125496505698 rejected
Heute kam eine Spam zur Gruppe der Account Alerts gehört und über eine angeblich abgewiesene Zahlung über NACHA informiert. Hinter dem Link dürfte sich ein Trojaner verbergen Leider – oder Gott sein Dank, war die Seite schon gesäubert, als ich versuchte den Link aufzurufen. Interessant finde ich nur den Speicherort der landing page im WordPress… Spam: Payment ID 125496505698 rejected weiterlesen
Angriffe auf ssh
Mir vielen gerade Angriffsversuche auf den ssh Port dieses Servers auf. Das Besondere an diesen Login Versuchen ist, dass etwa alle 5 Minuten und 30 Sekunden genau ein Login Versuch stattfindet. Damit dauert es zwar sehr lange, eine Schwachstelle zu finden, aber die üblichen zusätzlichen Abwehrmechanismen wie Fail2Ban oder Denyhost, die auf sehr viele Zugriffe… Angriffe auf ssh weiterlesen
DDoS Angriffe
[vgwort line=“84″ server=“vg08″ openid=“b0a49986d4b74e20b36160370b4a5a24″] Eine Woche ist es nun her, dass die DDoS Angriffe auf HTTP-Ebene begannen. In Google habe ich noch nicht viel über derartige Angriffsmuster gefunden. Ist auch schwer danach zu suchen. Die HTTP-Anfragen geben zu wenig Information. Hier die Chronologie des oder der Angriffe. Mittwoch, 21.11. Letzten Mittwoch fing es harmlos an.… DDoS Angriffe weiterlesen
Trojaner: Ruckzahlung auf PayPal-Guthaben
Und wieder kommt Trojanisches Pferd im PayPal-Kleid. Der Inhalt ist wie immer häßlich – eine Zip_Datei PayPal_Teilruckzahlung.zip mit einem ausführbaren Programm PayPal_Teilruckzahlung.pdf.exe. Diesmal wird eine Teilrückzahlung ohne Umlaute versprochen. Lieber Krimineller, die deutschen PayPal Nachrichten kommen mit Umlauten! Das Geld für die „Tüddelchen“ hat PayPal noch über. An den Umlaut-Doppelpunkten müssen wir trotz Griechenland nicht… Trojaner: Ruckzahlung auf PayPal-Guthaben weiterlesen
Trojaner: mms@vodafone.de – You have received a new MMS message
Eine angebliche Mail von Vodafone enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt. Das gleich Spiel wie bei der Facebook message. Ansonsten nichts keine Neuigkeiten. Der Anhang heißt VodafoneDE_MMS.zip… Trojaner: mms@vodafone.de – You have received a new MMS message weiterlesen
Trojaner: Facebook message
[vgwort line=“81″ server=“vg08″ openid=“97ab087125834a65b63eb92ee32e9ed0″] Eine angebliche Mail von Facebook enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt. Date: Tue, 6 Nov 2012 12:31:20 +0100 To: <thomas@byggvir.de> From: „Facebook“ <notification+aciiy144@facebookmail.com>… Trojaner: Facebook message weiterlesen
Blackhole with new Obfuscation
[vgwort line=“80″ server=“vg08″ openid=“53a2f874bc98402495d2e659fd12c2d2″] In a former article I described a method to deobfuscate Blackhole obfuscated JavaScript with shell commands and two simple C-programs. Today I got a Blackhole Exploit Kit message which lead to a landing page – http://forumibiza.ru:8080/forum/links/column.php – with a new ( for me) – simpler – obfuscation. They didn’t insert random… Blackhole with new Obfuscation weiterlesen
Blackhole: Tarnt sich als Scan to E-Mail
[vgwort line=“76″ server=“vg08″ openid=“6ed0bbb400344018b7c1834b430fcb81″] Heute war nach Tagen der Ruhe ein Trojanisches Pferd des Blackhole Exploit Kit unterwegs. Der angeblich eingescannte Text ist eine HTML-Seite HP-Officejet-05569.htm, die direkt auf eine Landing Page umleitet. Und so sieht die Mail grundsätzlich aus.