Achtung: Gefälschte 1&1-Mails!

Yopie · 07.01.2007, 15:32

Wieder mal die alte Leier, mehr unter heise online - 1&1 warnt Kunden vor gefälschten Rechnungen

Gruß

Yopie

bingolo · 08.01.2007, 14:23

Na Klasse micht hats erwischt und meine Sis hats geöffnet....
War das letzte mal das die hier ran kommt..^^

Gibt es was dagegen?

Yopie · 08.01.2007, 14:44

Zitat:

Zitat von bingolo

War das letzte mal das die hier ran kommt..^^

Gibt es was dagegen?

Gegen die Schwester? Ein eingeschränktes Benutzerkonto.

Gegen den installierten Trojaner? Ich rate zur Neuinstallation. Wenn du das nicht machen willst, poste mal ein Hijackthis-Logfile mit kurzer Angabe zur Vorgeschichte in das entsprechende Unterforum.

Gruß

Yopie

**Sunny** · 08.01.2007, 15:50

Kompromittierung durch gefälschte eMail von 1&1

Wer die eMail bekommen und die Anlage geöffnet/ausgeführt hat, kann den darin enthaltenen BackdoorTrojaner nur noch mit einer Neuinstallation bereinigen!

Die ausführbare Datei trägt den Trojaner "Backdoor.Win32.agent.abf" in sich, der laut Naiin derzeit nur von mit heuristischen Technologien ausgestatteten Antiviren-Programmen aufgespürt werden kann, aber nicht gelöscht wird!

Definition "Backdoor.Win32.agent.abf":
(Remotesteuerung!)

Der Backdoor öffnet einen beliebigen TCP-Port, um dem Übeltäter remote-Zugang zur infizierten Maschine zu geben.

Der Backdoor hat die Möglichkeit, auf die infizierte Maschine, beliebige Dateien zu laden, sie zu starten, zu entfernen, verschiedene Prozesse abzuschließen und Informationen über den Computer und seinen Eigentümer zu erhalten.

Ich hoffe der Beitrag war informativ genug, das auch der letzte Betroffene weiß was zu tun ist, wenn die eMail geöffnet wurden ist.

Gruß
Sunny

MightyMarc · 08.01.2007, 15:54

Zitat:

Zitat von [Gc]Sunny

Ich hoffe der Beitrag war informativ genug, das auch der letzte Betroffene weiß was zu tun ist, wenn die eMail geöffnet wurden ist.

Zitat:

Zitat von bingolo

Na Klasse micht hats erwischt und meine Sis hats geöffnet....

http://www.trojaner-board.de/35081-t...r-problem.html

Manchmal ist man geneigt mit der Schrotflinte durchs Forum zu hotten.

**Sunny** · 08.01.2007, 15:57

Zitat:

Zitat von MightyMarc

http://www.trojaner-board.de/35081-t...r-problem.html

Manchmal ist man geneigt mit der Schrotflinte durchs Forum zu hotten.

Ich denke das ganze Ausmaß der (nennen wir es mal so ->) Katastrophe wird erst in ein paar Tagen auf uns "einschlagen"...

(mich "grault es schon"

)

MightyMarc · 08.01.2007, 16:01

Zitat:

Zitat von [Gc]Sunny

Ich denke das ganze Ausmaß der (nennen wir es mal so ->) Katastrophe wird erst in ein paar Tagen auf uns "einschlagen"...

Es ist halt ein Unterschied ob jemand postet "Habe Kopfschmerzen" oder ob er postet "Habe Kopfschmerzen nachdem ich versucht habe, einen Baseball mit dem Kopf zu stoppen."

Yopie · 08.01.2007, 16:38

Übrigens gibt es verschiedene Versionen des 1&1-Trojaners.

Die aktuelle (letzte Nacht eingetrudelt) wird von Jotti überwiegend als "Haxdoor" erkannt. Die zugehörige md5sum ist ad8e76618481ff89e4e9eb54c8c632b9. Sie ist bedeutend größer als der Schädling der ersten Welle (19a960f2ae534915040bcb60afaa295f).

Meine Vermutung: Das, was bei der ersten Welle noch nachgeladen wurde, bringt dieser Schädling gleich selbst mit.

Gruß

Yopie

Cptkirk · 08.01.2007, 19:19

Hallo Zusammen,

ja ich habe die exe geöffnet, habe ja zwei Virenscanner, (lol) und die haben
dann natürlich auch versagt.

Sofort Strom weg, vom Netzwerk getrennt, rebootet und mal schauen was passiert ist.

Spybot fand besagten Trojaner und mit Hijack konnte ich eine accessz.exe im
system32 Verzeichnis finden und löschen.

Gestartet wurde sie unter HKLM/Mircrosoft/currentversion/run/winupdate
Das hat sogar Microssoft Defender protokoliert und zugelassen.
Zeitstempel 07.01.07 / 10:06...naja nur der frühe Vogel fängt den Wurm !

Außerdem scheint der Trojaner die Remoteunterstützung im Windowsfirewall aktiviert zu haben.

Tools wie F-secure blacklight und RotkitRevealer finden derzeit nichts mehr.

@[Gc]Sunny..das der Trojan nicht gelöscht werden kann, das steht nicht in dem Artikel, das hast Du hinzugefügt

Gruß

James T. Kirk

Ach ja, ich poste mit meinem Zweitrechner, der infiltrierte ist noch nicht wieder am Netz.

**Sunny** · 08.01.2007, 19:30

Zitat:

Zitat von Cptkirk

ja ich habe die exe geöffnet, habe ja zwei Virenscanner, (lol) und die haben
dann natürlich auch versagt.

Schonmal totaler Schwachfug!

Wieso 2 Virenscanner, wieso überhaupt Virenscanner?

Zitat:

Sofort Strom weg, vom Netzwerk getrennt, rebootet und mal schauen was passiert ist.

Was soll das bringen?

Zitat:

Spybot fand besagten Trojaner und mit Hijack konnte ich eine accessz.exe im
system32 Verzeichnis finden und löschen.

Weißt du auch was du da gelöscht hast?

Zitat:

Das hat sogar Microssoft Defender protokoliert und zugelassen.

Oh, noch mehr Sicherheitssoftware! Sicherheit ist ja auch heut zu tage wichtig!

Zitat:

Tools wie F-secure blacklight und RotkitRevealer finden derzeit nichts mehr.

Es geht bei der "Geschichte" um einen Trojaner mit Backdoorfunktionalität und nicht um ein Rootkit!

Zitat:

@[Gc]Sunny..das der Trojan nicht gelöscht werden kann, das steht nicht in dem Artikel, das hast Du hinzugefügt

Ist logisch, oder?

Gruß

cad · 08.01.2007, 19:48

Zitat:

Zitat von [Gc]Sunny

Ich denke das ganze Ausmaß der (nennen wir es mal so ->) Katastrophe wird erst in ein paar Tagen auf uns "einschlagen"...

(mich "grault es schon"

)

Ich verstehe 1&1 nicht.

Sonst kommt bei jedem Sche** eine Mail, aber bis jetzt keinerlei Warnung.
Auf der Website finde ich nichts, in den Kundenmitteilungen Fehlanzeige.
Nicht jeder liest Heise.

Cptkirk · 08.01.2007, 19:51

@Sunny
Strom aus war der schnellste Weg den Rechner vom Netz zu bekommen.

Wie Du schon sagtest, backdoor um irgendetwas zu öffnen und wohlmöglich irgendetwas anzustellen oder nachzuladen...nur so zum Spaß macht er ja nicht die Hintertür auf

Was ich gelöscht habe...keine Ahnung aber da ich meine Start-Dateien kenne, weiß ich, daß die accessz.exe bisher nicht dazu gehörte.

Und wem hier access gewährt wurde, ist mir natürlich nicht klar.

Gruß

**Sunny** · 08.01.2007, 19:52

Zitat:

Zitat von cad

Ich verstehe 1&1 nicht.

Sonst kommt bei jedem Sche** eine Mail, aber bis jetzt keinerlei Warnung.
Auf der Website finde ich nichts, in den Kundenmitteilungen Fehlanzeige.
Nicht jeder liest Heise.

Das stimmt so nicht ganz -> =MX.EUE.DE&origin[page]=index&ucuoId=MX.EUE.DE-20070108193423-ac1704c2c4lBzMiSspOVkWWBww8UiN9e-S1]in den Themen ist davon die Rede!

Trotzdem! Eine Mail an alle Kunden hätte schon letzte Woche kommen müssen, da begann es nämlich mit dem SPAM!

cad · 08.01.2007, 19:59

Hm, die Meldung steht aber noch nicht lange oder ich hab Tomaten auf den Augen.

cacatoa · 08.01.2007, 19:59

Zitat:

Zitat von [Gc]Sunny
Eine Mail an alle Kunden hätte schon letzte Woche kommen müssen

Vollkommen richtig, ich hatte die eMail auch schon vor einigen Tagen bekommen und sie in die Tonne geschickt...

cacatoa

07.01.2007, 15:32	#1
Yopie Moderator, a.D.	Achtung: Gefälschte 1&1-Mails! Wieder mal die alte Leier, mehr unter heise online - 1&1 warnt Kunden vor gefälschten Rechnungen Gruß Yopie

08.01.2007, 19:59	#14
cad /// caddy ☀	Achtung: Gefälschte 1&1-Mails! Hm, die Meldung steht aber noch nicht lange oder ich hab Tomaten auf den Augen. __________________ Investiere keine Zeit in Jemand oder eine Sache, für die/den du oder die für dich nur eine Option unter Vielen ist Jede Hilfestellung erfolgt ohne Gewähr und Haftung >Wenn Du das Forum unterstützen möchtest<

Achtung: Gefälschte 1&1-Mails!

Plagegeister aller Art und deren Bekämpfung: Achtung: Gefälschte 1&1-Mails!