Ist sicher ein Virus / Trojaner, oder?

hier der Inhalt der eMail:

Sehr geehrter Herr G......

Ihre Bestellung ist fertig.
anbei finden Sie die Rechnung zu Ihrer aktuellen Buchung im PDF Format.

Mit freundlichen Gruessen
Ihr Finanzamt / Ihre Steuerverwaltung

www.elster.de
In der Anlage ein PDF mit dem Namen ELSTERonline.pdf

So eine ähnliche Mail erhielt ich heute auch:

von: kunden @ elster.de
Betreff: Elster Rechnung
Antwort an: Onlinerechnung @ elster.de

Sie haben Zusatzdienstleistungen bestellt. im Anhang finden Sie die gewuenschten Informationen als PDF-Datei.
Mit freundlichen Gruessen
Ihr Finanzamt / Ihre Steuerverwaltung

www.elster.de
--------------
Bitte antworten Sie nicht auf diese Nachricht, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

Anhang: ELSTER062012RECHN.PDF


Es war eine einfache, unverschlüsselte PDF-Datei im Anhang. Ich hab die Datei auf der Festplatte gespeichert und mit Avira Premium scannen lassen. Avira gab aber Entwarnung. Nach dem Öffnen war nur ein rechteckiges Feld im Dokument zu sehen, dass wohl mit einem Hyperlink versehen ist. Es wurde aber nicht angezeigt wohin dieser führen würde oder welche Aktion dadurch gestartet werden würde. Daher hab ich da nicht drauf geklickt.

Virustotal brachte: https://www.virustotal.com/file/46d549b2abda067c7ac86c9ff618a76bcfe1e9962d4b4f8cef2f46d74ceeb0f9/analysis/

Ebenfalls folgende Email erhalten. Anhang nicht geöffnet, weil äußerst virusverdächtig. Leider noch kaum Ergebnisse in Suchmaschinen gefunden!!??

************
Sie haben Zusatzdienstleistungen bestellt.

Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

Mit freundlichen Gruessen

Ihr Finanzamt / Ihre Steuerverwaltung

www.elster.de
************

Anhang: ELSTERonline.pdf

Hallo Leute,

ich hatte gestern eine ähnliche EMail mit einem Anhang, der die gleiche Checksumme hat.

Leider war es so gut gemacht (Absender-, Empfänger-EMail-Adresse und Anrede passte), dass ich das Ding doppelt geklickt habe.

Zum Glück ist bei mir SumatraPDF installiert, anscheinend unterstützt das keinerlei aktiven Inhalte. Was meint ihr, kann ich beruhigt sein, oder sollte ich doch meinen PC neu aufsetzen (wäre allerdings ein Riesen-Aufwand)?

Übrigens hat Microsoft Security Essentials das Ding nicht erkannt. Ich habe es dann hingeschickt, und seit heute erkennen sie es, finde ich ja eigentlich ziemlich klasse.

LG
Muhnwalker

bitte solche pdfs an mich
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
wer das teil geöffnet hatt, thema im forum eröffnen.
das teil nutzt exploits um malware zu laden, zumindest das, was ich hier vor liegen hatte

Hi selbes Problem habs auch geöffnet. bzw. wollte es öffnen. denn nach anklicken ging der Adobe nicht mehr auf. auch nicht mit anderen PDF.

neustart und er ging wieder bis zu dem besagten PDF.

AV fand ihn dann am Späten abend. und auch den hier tr/spy.bebloh.eb.35

dann war noch was da und den weis i nimmer.

sind jetzt in quarantäne... soll ich die löschen?

meint ihr ich hab noch was weil av zeigt nix mehr an und Malwarebytes a net.

Dann noch eine Frage hab heute mein Iphone zurück bekommen war defekt und müsste es an der Kiste aktivieren.....

gruß

stef

Zitat:

Zitat von markusg

bitte solche pdfs an mich

Du hast eine PM.

Wird mir allerdings nicht im Postausgang angezeigt.
Wenn du keine bekommen hast melde dich bitte noch mal.

Ich wäre dann für eine Einschätzung der Datei dankbar, also ob mit dem Öffnen per SumatraPDF was passiert sein könnte.

LG
Muhnwalker

Mal ne (möglicherweise dumme) Frage eines Paranoikers:

Gibt es eine einfache Möglichkeit zu erkennen ob in einer .pdf Datei irgendwelche aktiven Inhalte (Skripte Java, Makos, Filme) enthalten sind ohne dass man riskiert das System zu infizieren ?

(Exploits kann man vorab nicht erkennen, aber sehe ich wenigstens ob Makros etc. drin sind ?)

Hintergrund: ich hatte neulich einen "Irrläufer" in dem eine Versicherungssachbearbeiterin mir einen Scan eines KFZ Scheins geschickt hatte.. und ich mich fragte wie ich das Ding jetzt untersuche bevor ich es öffne.


(War wohl falscher Alarm, die Mail kam wirklich von einem Mailserver dieser Versicherung .. aber kann man allgemein pdfs erst mal "abklopfen" ? Avira Scan habe ich natürlich durchgeführt..)

Sehr geehrte Damen und Herren,



fur Sie wurde von Ihrem Finanzamt bzw. Ihrer Steuerverwaltung uber das Verfahren ELSTER eine verschlusselte Datei

(Einkommensteuerbescheid) zur Abholung bereitgestellt.



-- Ihre Datei finden Sie als PDF-Datei im Anhang dieser E-Mail. --



Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch geloscht.



Dies ist eine automatisch generierte E-Mail - bitte antworten Sie nicht an diese Mailadresse.



Mit freundlichen Grussen

Ihr Finanzamt / Ihre Steuerverwaltung

www.elster.de



HINWEIS:

Sie erhalten diese E-Mail, weil Sie bei der Datenubermittlung z.B. Ihrer Steuererklarung die

Mailbenachrichtigung auf diese E-Mailadresse gewunscht haben.

Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.

angehangen ist die:
ELSTER_Finanzamt2012.pdf
die nutzt ein 2 jahre altes exploit, also, jeder kann sich da locker vor schützen
adobe reader aktualisieren:
Adobe - Adobe Reader herunterladen - Alle Versionen
und wenn man schon dabei ist, gleich mal die gesammte andere instalierte software auf lücken prüfen:
FileHippo.com - Kostenfreie Software downloaden
file hippo instalieren, symbol im infobereich mit rechts anklicken, settings und hide beta updates (beta updates verstecken) auswählen.
instaliert wird ein backdoor, die liegen auf gehackten legitimen webpräsenzen, die sich hauptsächlich in deutschland befinden, es wurden bereits einige nach abuse mails von mir abgeschalten.


wer solche pdfs erhält, bitte an uns weiterleiten, wie das geht, kann man meiner signatur entnemen

gibt wieder ne neue:

*Betreff: **Finanzamt bzw. 29.01.2013*
*Antwort an: *<steuerverwaltung-finanzamt@elster.de
<mailto:steuerverwaltung-finanzamt@elster.de

п»їSehr geehrte/r Kunde/Kundin

fГјr Sie wurde von Ihrem Finanzamt bzw. Ihrer Steuerverwaltung Гјber das
Verfahren ELSTER eine verschlГјsselte Zip-Datei zur Abholung bereitgestellt.

Mit freundlichen GrГјГџen
www.elster.de <http://www.elster.de>
weitere bitte an die Adresse in meiner Signatur