[vgwort line=“75″ server=“vg08″ openid=“fc927b9f98994932bbdb0a38be751095″] Nachdem die Trojaner mich einige Tage in Ruhe gelassen haben, wurden sie heute wieder richtig aktiv. Bei zwei Mails handelt es sich um angebliche Hotelbuchungen, drei betrafen angebliche BA- Tickets. Angehängt ist jeweils eine ZIP-Datei mit einem Trojanischen Pferd. Zuerst schauen wir uns die angeblichen Buchungen bei hotel.de an.
Kategorie: Viren, Würmer und anderes Getier
In dieser Kategorie erscheinen Artikel über Viren, Würmer und anderes Getier, dass sich nicht nur in freier Natur findet.
Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)
[vgwort line=“70″ server=“vg08″ openid=“b4cba78abe7143dca816742fe2b0641b“] Achtung: Maus weg vom Anhang! Diesmal kommt ein Trojaner in einem neuem Gewand mit einem HTML-Anhang. Dieser enthält ein verschleiertes Script, das auf eine Web-Seite umleitet. Von dieser wird wiederum eine Datei heruntergeladen, die wiederum ein verschleiertes Script enthält und nach der Dekodierung den Rechner auf Schwachstellen prüft. Letzteres Script trägt… Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx) weiterlesen
Trojaner: Corporate eFax message
Jetzt sind auch die angeblichen eFax Nachrichten vermehrt unterwegs. Interessant ist hier, dass Absender Adressen zufällig als Hexadezimalwert generiert werden. Die Mail versucht den Leser dazu zu verleiten, den Anhang zu öffnen, der statt des Fax in PDF-Format ein Windows-Programm – einen Trojanisches Pferd oder kurz Trojaner – enthält, das auf dem Rechner des Opfers… Trojaner: Corporate eFax message weiterlesen
Trojaner: Hotel booking confirmation
Wieder ein Trojaner im ZIP-Anhang mit einer angeblichen Hotelbuchung. Zwar kann der Programmierer das Datum de Schreiben ändern, aber die Reservierung liegt wieder in der Vergangenheit. Professionell ist etwas anderes. Wer sich unbedingt einen Trojaner einfangen will, der kann den Anhang gerne öffnen. Ansonsten gilt wie immer: Finger weg! Zum Glück ist in der HTML-Ansicht… Trojaner: Hotel booking confirmation weiterlesen
SPAM: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100
Und noch eine Mail aus der Kategorie ZIP-Anhang mit Trojaner. Auffällig ist, dass eine die Reservierung für ein Datum in der Vergangenheit erfolgt. Aber wer liest schon so eine Mail im Detail. Selbst wenn ich heute ein Zimmer reserviert hätte, gäbe es kaum einen Grund den Anhang zu öffnen. From: „hotel.de“ <>Confirmations@hotel.de> To: <thomas@t-arend.de> Date:… SPAM: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100 weiterlesen
SPAM: You have 1 Unread Message From PayPal!
Hier heute flatterte wieder eine Password Pishing Mail in meinen Briefkasten. Interessant war nur, dass es sich bei den Rechnern um T-Online – pdxxxxxxxx.dip0.t-ipconnect.de Kunden mit DSL-Anschluss handelt. Die IP-Adresse dieser Rechner wechselt mindestens täglich und so kann dies nur 24 Stunden. Der Weg zur falschen Web-Seite führt über eine Weiterleitung (über den selben Rechner)… SPAM: You have 1 Unread Message From PayPal! weiterlesen
SPAM: United Postal Service Tracking Number H2243103717
Nichts neues, aber ich finde die Aufmachung der Mail in der HTML Ansicht sehr schöne. Blasse Farbe auf hellem Grund liest sich immer gut. Nun machen sie sich nicht mal mehr die Mühe, das Programm im angehängten ZIP-Archiv als *.pdf oder Word-Dokument zu tarnen. Artemis!963FE8239C00 FakeAlert PWS-Zbot.gen.anq TR/Agent.ZWA Trojan.Necurs.97 Trojan-Ransom.Win32.PornoAsset.aoty Trojan-Ransom.Win32.PornoAsset Trojan:W32/Injector.AH Trojan.Win32.A.PornoAsset.84992.M Trojan/Win32.PornoAsset TROJ_GEN.F47V1018… SPAM: United Postal Service Tracking Number H2243103717 weiterlesen
SPAM: LinkedIn Invitaion
In diesem Artikel folge ich einer Verweiskette auf kompromittierte Server zu den Ursprüngen. Und analysiere die ersten Schritte eines verschleierten JavaScript, mit dem wahrscheinlich der Angriff erfolgt.
Lästige Angriffe auf mein WordPress-Blog(?)
[vgwort line=“63″ server=“vg08″ openid=“5eceab3c6b6a41f798395c8413ee58f2″] Seit geraumer Zeit beobachte ich Angriffe von vielen Servern auf dieses Blog. Die Angriffe, die dem Seitenaufruf die folgende kryptischen Zeichenfolge (auf vier Zeilen aufgeteilt) der folgenden Form anhängen. %26sa%3DU %26ei%3D4rpeT_yyKq3aiQKcmtjDBA %26ved%3D0CD0QFjAJOGQ %26usg%3DAFQjCNG2nUv1dUODZwi4HLrUVpZCF-0l8w Beliebt sind die Seitenaufrufe für /tags/password/<ZEICHENFOLGE> und /tags/pishing/<ZEICHENFOLGE>
SPAM: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS
[vgwort line=“62″ server=“vg08″ openid=“b94482ca4bb9492281ad87112c47c988″] Gerade habe ich eine SPAM Mail gefunden, die nur einmal in meinem Postfach landete. Dies ist ungewöhnlich, da ich normalerweise aus allen Rohren auf allen Adressen beschossen werde. Entweder ist es nur ein kurzer Versuchsballon oder es kommen demnächst mehr. Bei der VOLKSBANK Spam waren es 13 Stück. Kommt da noch… SPAM: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS weiterlesen