Der hier ist gestern bei mir aufgeschlagen, zusammen mit einer entsprechenden Spam-Email:
https://www.virustotal.com/file/966eff35422dc9516e46a86096909c15d3fd434eb930d8d22f7b117fdd4876f1/analysis/1358963583/

Erkennungsquote gestern noch bei nur 4 der Scanner bei Virustotal, mein lokaler AVG hat auch nicht angeschlagen.

Das ganze ist zweimal gezippt, vermutlich, um automatische Emailscanner irrezuführen, oder gibt es eine andere Erklärung?

Im Eingangspost wird außerdem empfohlen, das Archiv nicht zu öffnen, was ich unsinnig finde, ich will ja wissen, was da drin ist. Ich habe beide Archive geöffnet, nur die enthaltene .com-Datei natürlich nicht. Oder kann man jetzt schon durch öffnen eines ZIP-Archivs infiziert werden?

Zitat:

nur die enthaltene .com-Datei natürlich nicht. Oder kann man jetzt schon durch öffnen eines ZIP-Archivs infiziert werden?

Nein. Wenn überhaupt entsteht erst ein Schaden wenn die Datei ausgeführt wird, öffnen einer ZIP-Datei oder auch entpacken ist ja etwas anderes als eine ausführbare Datei auszuführen.

Zitat:

Zitat von cosinus

Nein. Wenn überhaupt entsteht erst ein Schaden wenn die Datei ausgeführt wird, öffnen einer ZIP-Datei oder auch entpacken ist ja etwas anderes als eine ausführbare Datei auszuführen.

Eben, daher der Hinweis/die Bitte, das Eingansposting dahingehend zu konkretisieren.

Btw, theoretisch(!) wäre es wohl möglich, über ein Archiv wie ZIP in Verbindung mit bestimmten Entpackern eine Infektion zu ermöglichen, falls der Entpacker oder eine verwendete Lib eine entsprechende Lücke beim Einlesen aufweist. Ist zwar unwahrscheinlich, wäre aber denkbar. Generell ist es aber in meinen Augen so wie du sagst.

Zitat:

Zitat von Jackie78

Btw, theoretisch(!) wäre es wohl möglich, über ein Archiv wie ZIP in Verbindung mit bestimmten Entpackern eine Infektion zu ermöglichen, falls der Entpacker oder eine verwendete Lib eine entsprechende Lücke beim Einlesen aufweist. Ist zwar unwahrscheinlich, wäre aber denkbar. Generell ist es aber in meinen Augen so wie du sagst.

Du meinst eine manipulierte ZIP-Datei?
Dazu müsste ja in einem Packer bzw. in der ZIP-Lib eine Schwachstelle gefunden werden, die man so ausnutzen kann, dass beim Öffnen der ZIP belibiger Code ausgeführt wird - meinst du sowas in der Art?

hi
wir werden, denke ich, das eingangsposting nicht ändern, denn wenn die Nutzer schon das Archiv öffnen, ists nicht mehr weit bis zum Klick auf den Inhalt des Archivs.
ps, wenn du mehr Spams reinbekommst, leite sie doch bitte zu uns weiter, damit wir evtl. neue Dateien weiterleiten können.

2 leicht modivizierte Spams:

Betreff: G?nter Lott Vertrag Bestellung DE71930631750

Sehr geehrte/r name,

Sie haben auf unsere deutliche Zahlungserinnerung vom 14.01.2013 nicht reagiert, so dass der nicht beglichene Betrag aus der Rechnung 484578057 vom 2112.2012 von Ihnen noch nicht beglichen wurde.

Deine Rechnungsnummer: 0672383446128 bei t-online.de Shop - Computer, Multimedia und Unterhaltungselektronik 640,60 Euro
Lieferung Empfänger: name

Wir bitten Sie daher den nicht beglichenen Betrag binnen 3 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen.

Im der ZIP Anlage finden Sie Ihre Mahnung und andere Einzelheiten Ihrer Bestellung.

Bei weiteren Fragen können Sie sich gerne an unseren Kundenservice unter 0900 - 97 468 29239 (1,59 Euro/Min dt. Festnetz) wenden.
Sollte auch diese Zeitfrist ohne einen Zahlungseingang verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung geben.
Wir möchten Sie darauf hinweisen, dass wir alle Zahlungseingänge bis zum 23.01.2013 geprüft haben.

Bitte lassen Sie uns wissen, ob wir Ihnen noch anderweitig behilflich sein können.

Mit verbindlichen Grüßen

Ihre Kundenbetreuung
Germany Augustusburg
Jule Müller



Betreff: Name Letzte Mahnung Ihrer Bestellung Nummer 3797756

Sehr geehrte/r Name,

leider haben Sie auf unsere schriftliche Zahlungserinnerung vom 01.01.2013 nicht reagiert, so dass der offene Betrag aus der Rechnung 53601214 vom 16.12.2012 von Ihnen noch nicht beglichen wurde.

Ihre Bestellnummer: 01722337765 bei Günstige Markenkleidung im Online Shopping Club bei brands4friends 544,00 Euro
Lieferung an: Name

Wir verpflichten Sie daher den fälligen Betrag binnen 5 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen.

In der angehängten Datei sehen Sie Ihre Mahnung und weitere Einzelheiten Ihrer Bestellung.

Bei Fragen können Sie sich an unseren Kundenservice unter 0900 - 87 696 78266 (1,99 Euro/Min dt. Festnetz) wenden.
Sollte auch diese Frist ohne eine Zahlung verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung leiten.
Wir möchten Sie darauf hinweisen, dass wir alle Zahlungseingänge bis zum 23.01.2013 geprüft haben.

Bitte lassen Sie uns wissen, ob wir Ihnen noch weiter behilflich sein können.

Mit verbindlichen Grüßen

Ihr Kundenservice
Deutschland Bad Bramstedt
Yannis Vermut
wer mehr reinbekommt, weiterleiten bitte

@cosinus: genau so war es gemeint, eine Schwachstelle in der EXE oder einer verwendeten Lib eines Packers. Daher auch der Hinweis, dass das exotisch ist, aber nehmen wir an, die Lib die Windows standardmäßig zum Entpacken von ZIPs mitbringt hätte so eine Lücke wäre es bestimmt lohnenswert für die Spamversender.

@markus: Mail ist raus, ich kann aus Outlook 2007 leider nicht im .eml-Format exportieren, ich habe trotzdem mal alles zusammengezippt und an dich geschickt, mich würde natürlich interessieren, was du herausfindest. Wenn ich mithelfen kann, gerne.

hi
outlook 2007:
eMail Header in Microsoft Outlook 2007 auslesen | Spam Info

Zitat:

Zitat von Jackie78

@cosinus: genau so war es gemeint, eine Schwachstelle in der EXE oder einer verwendeten Lib eines Packers. Daher auch der Hinweis, dass das exotisch ist, aber nehmen wir an, die Lib die Windows standardmäßig zum Entpacken von ZIPs mitbringt hätte so eine Lücke wäre es bestimmt lohnenswert für die Spamversender.

Tja wer weiß in welchen Libs und EXEn noch alles für unbekannte Lücken stecken um BufferOverflows zu provozieren

Da hilft nur patchen bis der Arzt kommt und immer schön vorsichtig sein....
Und Backups machen bis ein Ärzteteam anrücken muss!

Hier mal der Klartext und Header:

[header]
Return-Path: leonskuddis [at] web.de
Received: from mout.web.de ([212.227.17.12]) by mx-ha.gmx.net (mxgmx010) with
ESMTP (Nemesis) id 0LkTRj-1TLceg2bCV-00cTii for <************@gmx.de>; Wed,
23 Jan 2013 13:47:45 +0100
Received: from thomas-383f5ec1 ([91.40.29.3]) by smtp.web.de (mrweb001) with
ESMTPSA (Nemesis) id 0Mg7Zl-1TaXRJ33MD-00NaAl for <************@gmx.de>; Wed,
23 Jan 2013 13:47:44 +0100
From: <leonskuddis [at]web.de>
To: "**** ********" <************@gmx.de>
Subject: 23.01.2013 **** ******** Letzte Mahnung Nr. 29767
Date: Wed, 23 Jan 2013 12:48:00 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC1094844F"
Message-ID: <0M9oW8-1Tn1NQ3zom-00BCc2@smtp.web.de>
X-Provags-ID: V02:K0:LZgh+gJ0mSE7LNcWKTpXGROXBxHBTZYdbyPKIouyv8/
0M2z6j2oQus+pextLpoIeXYupcXTfKw70bBcG6h/P3VGEHp8H3
LIwyu1xy3HnHIIPzPgpxZ4P4+xiV3wUKygJ+KNFxGzVjMrQt8n
ztjYEu+ICKRj52sstPwpLKzASvGrtEKEdNAAyyhA13WvYYiyGy
haKX9IHL9muIpfvqVRgYQ==
Envelope-To: <************@gmx.de>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:UimAAxO0KwQ=:skYOMea4tNRFMuEgweRf9K...


[/header]



Sehr geehrte/r **** ********,

leider haben Sie auf unsere schriftliche Zahlungserinnerung vom 19.01.2013 nicht reagiert, so dass der fällige Betrag aus der Rechnung 30241001 vom 22.12.2012 von Ihnen noch nicht überwiesen wurde.

Deine Bestell-Nummer: 82449048928 bei www.sanicare.de 592,90 Euro Lieferung bestätigt von: **** ********

Wir verpflichten Sie daher den fälligen Betrag binnen 6 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen.

Im beigefügtem Dokument sehen Sie Ihre Rechnung und andere Einzelheiten Ihrer Bestellung.

Bei Rückfragen können Sie sich an unseren Kundenservice unter 0900 - 17 518 62623 (1,29 Euro/Min dt. Festnetz) wenden.
Sollte auch diese Zeitfrist ohne eine Zahlung verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung übergeben.
Wir möchten Sie darauf hinweisen, dass wir alle Zahlungseingänge bis zum 23.01.2013 berücksichtigt haben.

Bitte lassen Sie uns wissen, ob wir Ihnen noch weiter behilflich sein können.

Mit freundlichen Grüßen

Ihre Kundenbetreuung
Germany Hamburg
Teresa Ropke

Na toll, und den Spezialisten von AVG hab ich das Sample als allererstes geschickt, es kam sogar ne Bestätigung zurück dass sie es als infektiös erkannt haben, und jetzt sind sie bis heute nicht in der Lage ihre Signaturen anzupassen

So einfach ist die Welt nicht.

Wenn du einem Arzt eine Probe eines Grippevirus schickst, hat er auch nicht direkt das Gegenmittel parat.

Ihr erwartet alle zu viel von diesen sogenannten "Security Suiten".

Hi
das hat nichts mit dem Können der Hersteller zu tun, sondern mit technischen Problemen, da zum entschlüsseln Daten nötig sind, die auf dem Angreiferserver liegen und deshalb nicht zugänglich sind, und selbst wenn, könnte man sie den pcs wohl eher schwierig zuordnen, deswegen wirds da wohl auch nie ne Möglichkeit geben was zu entschlüsseln

Mir geht es ja nicht ums entschlüsseln, mir geht es darum, dass sie ihn nichtmal erkennen, während bei Virustotal die Erkennungsquote inzwischen bei ca. 50% liegt (bei meinem Sample...)

Das ganze zu entschlüsseln steht ja auf einem anderen Blatt, das ist mir schon klar. Das ist mir auch egal, ich bin ja nicht infiziert, ich hatte nur gehofft, dass der Antivirenhersteller meines Vertrauens es schafft, drei Tage nachdem er von mir ein Sample erhalten und rückbestätigt hat (sie wissen also, dass es das Teil gibt), seine Signaturen auf den neuesten Stand bringt...

aso, dann ists n missverständniss, 3 tage ist tatsächlich lange