![]() |
|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 | |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @admins WICHTIG!!! Bitte den Anhang von norbt entfernen, da ist ein Trojaner drin!!! Der wurde von meinem Kaspersky NICHT entdeckt! @norbert Keine Anhänge ohne Kennwort! Zitat:
|
![]() | #2 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Huhu norbt,
__________________kleine Info an Dich, bei Deinem Package handelt es sich nicht um den kleinen Freund selber, sondern um die Website, die dass Programm anzeigt, die ausführbare Datei wird sich noch irgendwo im System tummeln. Dass müsste also der Teil des Packages sein, welcher vom Webserver im cab Package an den PC gesendet wird, soweit ich es von hier aus beurteilen kann. @pcnberlin ist Dir bekannt ob die Server von der Version 1.140.1 und der Version Version 1.150.1 identisch sind ? So far... fdy |
![]() | #3 |
/// Helfer-Team ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Ja, bin da ziemlich sicher, eine Liste der Domains findet man auch in meinen Blogpost und mit jetzigem Stand sind die Domains nicht mehr aufzulösen.
__________________ |
![]() | #4 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf eine interessante Beobachtung zu den Dateinamen: beim "Buchstabensalat" für die Dateinamen werden bei mir nicht alle Groß- und Kleinbuchstaben verwendet, sondern nur die folgenden: A..DE.G..J.L.NO.Q..TUV.X.. a..defg..j.l.no.qrstuv.xy. bei mir kommen also genau 31 verschiedene Zeichen zum Einsatz. |
![]() | #5 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo! Ich bin ganz neu hier. Habe mir leider auch diese neue Version vom Verschlüsselungstrojaner eingefangen und hoffe nun auch Hilfe von Euch! Ich habe bereits alle Entschlüsselungstools ausprobiert. Keiner hat bisher den Schlüssel generieren können ![]() Wird es da bald ein Tool für geben oder das ist das eher aussichtslos? Vielen Dank |
![]() | #6 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf hallo! eine bekannte von mir hat sich auch den trojaner eingefangen, den konnte ich mittels rescue-cd von kaspersky unschädlich machen, jedoch sind die verschlüsselten dateien geblieben und lassen sich auch mit den bis jetzt veröffentlichten entschlüsselungsprogrammen nicht wiederherstellen in diesem fall versuchen die es über eine einkaufsbestätigung die email habe ich abgespeichert und an virus@trojaner-board.de gesendet lg dejan untenstehend die mail (header und text): Received: from fmmailgate02.web.de ([217.72.192.227]) by sue.xoc.tele2net.at with esmtp (Exim 4.77) (envelope-from <seif333@web.de>) id 1SUrbL-0003pP-7a for xxxxx.xxxxx@utanet.at; Thu, 17 May 2012 05:42:08 +0200 Received: from moweb001.kundenserver.de (moweb001.kundenserver.de [172.19.20.114]) by fmmailgate02.web.de (Postfix) with ESMTP id 136E51C4B3234 for <xxxxxx.xxxxx@utanet.at>; Thu, 17 May 2012 05:42:06 +0200 (CEST) Received: from pc-server.PacificConcrete.local ([75.30.241.238]) by smtp.web.de (mrweb002) with ESMTPA (Nemesis) id 0MQf77-1Sewly2Nfp-00U6aH; Thu, 17 May 2012 05:42:06 +0200 Received: from sue.xoc.tele2net.at ([213.90.36.10]) by mary.xoc.tele2net.at with esmtp (Exim 4.77) (envelope-from <seif333@web.de>) id 1SUrbM-0007UA-8O for xxxx.xxxxx@utanet.at; Thu, 17 May 2012 05:42:08 +0200 Return-Path: <seif333@web.de> From: <seif333@web.de> To: <xxxxx.xxxxxx@utanet.at> Subject: Message has been disinfected : Mitgliedskonto 06610364468 Date: Thu, 17 May 2012 05:42:01 +0200 Message-ID: <CHILKAT-MID-e21f8baf-faae-793c-3d7c-236e8cb99d1b@pc-server.PacificConcrete.local> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0000_01CD3EAD.E4181420" X-Mailer: Microsoft Outlook Express 6.00.2800.1158 Thread-Index: Ac0z3wiun1jAfsMhT92itvPg2VZbIQ== x-tele2-spam-relay-countries: DE ** US x-spam-report: * -0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at hxxp://www.dnswl.org/, no * trust * [217.72.192.227 listed in list.dnswl.org] * 0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider * (seif333[at]web.de) * -0.0 T_RP_MATCHES_RCVD Envelope sender domain matches handover relay * domain * 0.2 FREEMAIL_ENVFROM_END_DIGIT Envelope-from freemail username ends in * digit (seif333[at]web.de) * 0.0 LOTS_OF_MONEY Huge... sums of money * 0.0 TO_NO_BRKTS_MSFT To: misformatted and supposed Microsoft tool * 2.8 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook x-spam-status: No, score=3.0 required=8.0 tests=FORGED_MUA_OUTLOOK, FREEMAIL_ENVFROM_END_DIGIT,FREEMAIL_FROM,LOTS_OF_MONEY,RCVD_IN_DNSWL_NONE, TO_NO_BRKTS_MSFT,T_RP_MATCHES_RCVD x-spam-checker: Spamassassin 3.3.2 on sue.xoc.tele2net.at x-spam-level: xxx x-spam-score-int: 30 x-virus-scanned: Yes, on sue.xoc.tele2net.at x-tele2-dkim-check: header.i=@web.de adsp:unknown result:none x-dcc-uta-metrics: sue.xoc.tele2net.at 32731; Body=1 Fuz1=1 x-provags-id: V02:K0:FAtE0G87+wAjxfEcdFTvgrgr1KKW5GCBIwGEUBY2d+K AMhG4K7TrNB89eA8rRz0k13BQZegcT8MAP9caTVcfkmtrzhgXw +NxQn2uVJZ7mdP9AXb74nhBlXvVPJFPnhuu4BKjMqJHkkYeMiD eUakdyZ0vlmbpZYlwvbUMtxx1VS1wbPU+K78KHOQJ4rMmPCn91 iduL30N8dn61+UJap1/UQ== Dies ist eine mehrteilige Nachricht im MIME-Format. ------=_NextPart_000_0000_01CD3EAD.E4181420 Content-Type: multipart/alternative; boundary="----=_NextPart_001_0001_01CD3EAD.E4181420" ------=_NextPart_001_0001_01CD3EAD.E4181420 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable Sehr geehrte/r Kunde/Kundin, Danke f=FCr Ihren Vertrag mit PelikanOnlineStore, nachfolgend finden Sie = Ihre Einkaufsbest=E4tigung. Ihre Bezahlnummer: 236768401703=20 Artikel: Toshiba 1963006212 9669,01 Euro Rechnungsname: Wie in Rechnungsdaten dargestellt Zahlungsmethode: Lastschrift=09 Versandadresse und detaillierte Vertragsdaten finden Sie zwecks Vorsichtsgr=FCnden im zugef=FCgten Ordner. Die =DCberweisung wurde autorisiert und wird innerhalb 3 Tage = abgeschrieben.=20 Kaufeinzelheiten und Widerruf Mitteilung finden Sie in beigef=FCgtem = Anhang. Ihr E-Mail-Support Heinrich GmbH Horner Stieg 75=20 73870 Potsdam Telefon: (+49) 327 1507881 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Altena Umsatzsteuer-ID: DE955917598 Gesch=E4ftsfuehrer: Niko M=FCller ------=_NextPart_001_0001_01CD3EAD.E4181420 Content-Type: text/html; boundary="-----_chilkat_c0e_c6d2_5e32ec8f.8a897bc7_.MIX"; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN"> <HTML> <HEAD> <META HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; = charset=3Diso-8859-1"> <META NAME=3D"Generator" CONTENT=3D"MS Exchange Server version = 08.00.0681.000"> <TITLE>Message has been disinfected : Mitgliedskonto 06610364468</TITLE> </HEAD> <BODY> <!-- Converted from text/plain format --> <P><FONT SIZE=3D2>Sehr geehrte/r Kunde/Kundin,</FONT> </P> <P><FONT SIZE=3D2>Danke f=FCr Ihren Vertrag mit PelikanOnlineStore, = nachfolgend finden Sie Ihre Einkaufsbest=E4tigung.</FONT> </P> <P><FONT SIZE=3D2>Ihre Bezahlnummer: 236768401703 </FONT> <BR><FONT SIZE=3D2>Artikel: Toshiba 1963006212 9669,01 = Euro</FONT> <BR><FONT SIZE=3D2>Rechnungsname: Wie in Rechnungsdaten = dargestellt</FONT> </P> <BR> <P><FONT SIZE=3D2>Zahlungsmethode: Lastschrift </FONT> </P> <P><FONT SIZE=3D2>Versandadresse und detaillierte Vertragsdaten finden = Sie zwecks Vorsichtsgr=FCnden im zugef=FCgten Ordner.</FONT> </P> <P><FONT SIZE=3D2>Die =DCberweisung wurde autorisiert und wird innerhalb = 3 Tage abgeschrieben. </FONT> <BR><FONT SIZE=3D2>Kaufeinzelheiten und Widerruf Mitteilung finden Sie = in beigef=FCgtem Anhang.</FONT> </P> <BR> <P><FONT SIZE=3D2>Ihr E-Mail-Support</FONT> </P> <P><FONT SIZE=3D2>Heinrich GmbH</FONT> <BR><FONT SIZE=3D2>Horner Stieg 75 </FONT> <BR><FONT SIZE=3D2>73870 Potsdam</FONT> </P> <P><FONT SIZE=3D2>Telefon: (+49) 327 1507881</FONT> <BR><FONT SIZE=3D2>(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 = Uhr)</FONT> <BR><FONT SIZE=3D2>Gesellschaftssitz ist Altena</FONT> <BR><FONT SIZE=3D2>Umsatzsteuer-ID: DE955917598</FONT> <BR><FONT SIZE=3D2>Gesch=E4ftsfuehrer: Niko M=FCller</FONT> </P> </BODY> </HTML> ------=_NextPart_001_0001_01CD3EAD.E4181420-- ------=_NextPart_000_0000_01CD3EAD.E4181420 Content-Type: application/zip; name="Anhang.zip" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="Anhang.zip" UEsFBgAAAAAAAAAAAAAAAAAAAAAAAA== ------=_NextPart_000_0000_01CD3EAD.E4181420-- Sehr geehrte/r Kunde/Kundin, Danke für Ihren Vertrag mit PelikanOnlineStore, nachfolgend finden Sie Ihre Einkaufsbestätigung. Ihre Bezahlnummer: 236768401703 Artikel: Toshiba 1963006212 9669,01 Euro Rechnungsname: Wie in Rechnungsdaten dargestellt Zahlungsmethode: Lastschrift Versandadresse und detaillierte Vertragsdaten finden Sie zwecks Vorsichtsgründen im zugefügten Ordner. Die Überweisung wurde autorisiert und wird innerhalb 3 Tage abgeschrieben. Kaufeinzelheiten und Widerruf Mitteilung finden Sie in beigefügtem Anhang. Ihr E-Mail-Support Heinrich GmbH Horner Stieg 75 73870 Potsdam Telefon: (+49) 327 1507881 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Altena Umsatzsteuer-ID: DE955917598 Geschäftsfuehrer: Niko Müller Geändert von norman4860 (30.05.2012 um 21:42 Uhr) |
![]() | #7 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @fdy: Danke fürs anschauen und die Informationen. Jedes kleine Bisschen Hilft weiter. |
![]() | #8 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @ pcnberlin: Ich danke Dir, herzlich. Na dann werde ich mich jetzt erstmal eine Runde ärgern, dass ich mir heute ein Testsystem hochinstalliert habe (keine VM), um den Vogel drauf loszulassen. |
![]() | #9 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo! Wieder mal der Verschlüsselungstrojaner. Hab den Anhang nicht geöffnet. Eine Mahnung und dann noch per Mail, da stimmt doch was nicht. Habe das schon mal bei einer Bekannten gehabt. Mit dem Tool hier hat es geklappt aber auch lange gedauert. Link: http://www.trojaner-board.de/114115-...tml#post820437 Infos zur Mail: E-Mail Header: Return-Path: <13342562573@189.cn> Delivered-To: GMX delivery to *****@gmx.net Received: (qmail invoked by alias); 26 May 2012 18:55:57 -0000 Received: from mta.189.cn (EHLO 189.cn) [121.14.53.137] by mx0.gmx.net (mx020) with SMTP; 26 May 2012 20:55:57 +0200 Received: from Server1 (as7.inner-189.cn [10.62.8.17]) by 189.cn (HERMES) with ESMTP id 7F3B915C0BC for <*****@gmx.net>; Sun, 27 May 2012 02:55:47 +0800 (CST) Received: from Server1 ([10.62.6.20]) by 189CN(Yuwen filter gate 10.62.8.17) with ESMTP id 1338058545.10436 for *****@gmx.net ; Sun May 27 02:55:55 2012 X-FILTER-SCORE: to=<944f958296848986939561888e994f8f8695>, score=<1338058555oooooSooYooxoSYx5ykqM1YYYYYNYYCYYhYNChYNChYN> MIME-Version: 1.0 Date: Sat, 26 May 2012 20:55:51 +0200 X-Priority: 3 (Normal) X-Mailer: Sylpheed version 0.7.6 (GTK+ 1.2.10; i686-pc-tommie-gnu) Subject: Dritte Mahnung 22.05.2012 029138273 From: 13342562573@189.cn To: *****@gmx.net Content-Type: multipart/mixed; boundary="-----_chilkat_000_0000_00000000.00000000_.MIX" Message-ID: <CHILKAT-MID-00000024-0054-0045-0041-004d00002400@Server1> X-GMX-Antivirus: 0 (no virus found) X-GMX-Antispam: 5 (eXpurgate); Detail=5D7Q89H36p6Db+1Gr2i0FsOUkUVirUO4L/dtLTEuSZD5KghEe2JRMCLhT4q/3HJYj+aOt gwG3s+0ljXZ4hWH0Ez35Q5DjrZyx3o/rQu0jRtqUj9YZlpg4cEoQeQSWS34tG7vz8D08YlXerp85 YvdVJe+qTMjf0j3WOGBiigaUUo2guRUL8dKadc1FiMMfa3FVRBkOvwg5lk=V1; X-GMX-UID: bm1iVNYyGHE3dc5Y+zYx/LgoL5mDVIjR X-Flags: 1411 Betreff: Dritte Mahnung 22.05.2012 02913827 Nachricht: Sehr geehrte Damen und Herren, in Bezug auf unsere Rechnung Nr.: 70557203 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht eingegangen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 856.00 EURO an uns zur Zahlung bringen. Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten. Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag! Maeki Elektro Online-Handel mit Sitz in Berlin Vorstand: Manfred Bauer, Maria Scholz Aufsichtsratsvorsitzender: Ursula Maier Gesellschaftssitz: Berlin 85004 Anhang: Mahnung.zip Nicht öffnen oder ausführen!!! Fazit: - Die Firma gibt es nicht keine genauen Ergebnisse bei Google - Mahnungen kommen eigentlich immer per Post - Anhang als zip und nicht als Dokument (pdf, doc,docx, xls, xlsx usw.) Geändert von Siggit2000 (30.05.2012 um 15:06 Uhr) Grund: Link hat gefehlt |
![]() | #10 |
/// Malware-holic ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf hallo, mails bitte hierhin: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
![]() | #11 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, ich habe den kompletten Quelltext der Trojaner-Email nach Befall eines lokalen PC vermittels Webmailer mit einem anderen PC geholt und als Textdatei gespeichert. Kann ich den ebenso zippen und einsenden? Ansonsten ist auffällig, dass der befallene PC eine neue Datei unter "\dokumente und einstellungen\all users\anwendungsdaten\microsoft\crypto\rsa\s-1-5-18\" hat (also nicht nur die übliche d42cc...), welche den Zeitstempel des Befalls trägt. Möglicherweise ist das einer der Schlüssel, die zum Verschlüsseln der Dateien oder Dateinamen benutzt worden sind. MfG. Andreas |
![]() | #12 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, ich habe mir auch einen Trojaner der neuesten Version eingefangen. ![]() Den Rechner hab ich, nachdem ich meine Verschlüsselten Daten gesichert habe, komplett neu gemacht. Heute hat mir eine Freundin berichtet, dass sie eine Mail mit dem Betreff: "Einladung zum Sommerfest" bekommen hat. Das neue an der Mail ist, dass die Datei nicht als Anhang mitgeschickt hat, sondern, dass man sich die Datei selber runterlasen soll. Ich denke mal, dass es sich auch diese mal um einen Trojaner Handel könnte. Kann ich die Mail irgend wohin weiterleiten, damit sich das jemand mal ansehen kann? Grüße |
![]() | #13 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Wie ich ja schon geschrieben habe bin ich leider auch ein Opfer.... Ich habe jetzt meine Festplatte gesichert und den PC Neu aufgesetzt.... @Markus Ich habe in meinem Spam Ordner von GMX noch so ein Bastard, wenn du mir sagst wie ich den dir zukommen lassen kann, dann sende ich dir den gerne... @all Ich habe nicht so viel Ahnung von PC´s usw. aber was mich wundert ist, das ich meine Musikdateien wieder bekommen habe,indem ich der Datei die Endung .mp3 gab und dann wurde sie auch abgespielt. Ich dachte dann, dann probierste das auch mal mit den Textdokumenten und den Bilder,mit der entsprechenden Endung, aber da ging das net. Er hat mir zwar angezeigt das er es in Office öffnen kann aber wenn ich drauf klicke bekomme ich nur Hyroglyphen.. Was ich auch versucht habe ist mit einem Tool von hier, konnte ich einen Schlüssel erstellen und konnte dann auch sagen entschlüssle mir die Datei...das Ergebnis war, das er mir in einem Ordner eine Datei Namens "Schlüssel eines Kunden" angelegt hat aber das ganze in einer BIN Datei war..... Das sind bisher meine Erfahrungen zu diesen schei... Trojaner. Bin echt froh wenn der Spuk vorbei ist und eine Lösung gefunden ist aber ich denke wenn eine Lösung da ist, dann ist bestimmt schon wieder ein anderer unterwegs.... Lieber Gruß Kleene |
![]() | #14 |
Administrator /// technical service ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Danke für den Hinweis, bitte nächstes mal den Beitrag melden ![]() Danke. ![]() |
![]() | #15 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo leahciM, ich sitze gerade mit großen Augen vor Deinem Post ![]() bezüglich des Anhangs von Norbert, wo findest du in dem Paket einen Virus ? Ich habe extrahiert: btn-green.png corners-btn.png corners1.png corners2.png corners3.png corners4.png de-flag.png de-image.png ie6-7.css jquery.main.js main.html McAfee.png pays-de.png style.css Thumbs.db ukash.png damit wir über dass gleiche Paket sprechen. dort ist keine ausführbare Datei enthalten (exe / pif / scr und Konsorten). Ein kurzer Überflug hat mir den Anschein vermittelt, dass es sich dabei um die HTML Seite handelt, die der Virus einblendet, wenn der Rechner infiziert ist, jedoch nicht um den Schadcode selber oder irgendeine Infektions / Crypt-Routine. Ich würde um ein kurzes Feedback von Dir bitten, was du auf der VM gemacht hast, damit es zu einer vermeindlichen Infektion gekommen ist. Btw. die ältere Variante wird von Kaspersky garantiert erkannt, ich konnte heute eine E-Mail mit der bekannten Rechnung.pif von einem PC extrahieren und Kaspys-Alarmglocken haben sofort geläutet. Daher gehe ich erstmal davon aus, dass du die main.html im Browser geöffnet hast oder wir nicht vom gleichen Paket sprechen. Vielen Dank fdy |
![]() |