Wir haben Ihre Bestellung geliefert


Wer eine Mail mit dem Betreff "Wir haben Ihre Bestellung geliefert" erhält, sollte diese an uns weiterleiten.

Zitat:

From: Skype <noreply@alerts.skype.com (gefälschter Absender)
Subject: Wir haben Ihre Bestellung geliefert
Dies ist eine automatisierte E-Mail. Bitte antworten Sie nicht darauf.




Hallo!

<Free Skype internet calls and cheap calls to phones online - Skype Das Bild wurde vom Absender entfernt. Free Skype internet calls and cheap calls to phones online - Skype



Wir haben Ihre Bestellung geliefert

Das Produkt kann jetzt genutzt werden. Bei Problemen <Free Skype internet calls and cheap calls to phones online - Skype
besuchen Sie bitte unseren Hilfebereich unter skype.com.


Die Einzelheiten Ihres Einkaufs In der befestigten Datei




Sie können den Status Ihrer Vereinbarung und die Ergebnisse Ihrer letzten
Zahlungen online einsehen.

Die regelmäßige Zahlung für Ihr Abonnement wird für jeden
Abrechnungszeitraum am gleichen Tag (soweit dies möglich ist) erfolgen. Wenn
Sie <Free Skype internet calls and cheap calls to phones online - Skype Ihr Abonnement kündigen, tritt diese Kündigung erst
am Ende des letzten Abrechnungszeitraums in Kraft.


Bis bald
Ihr Skype-Team


<Free Skype internet calls and cheap calls to phones online - Skype
Kontoeinstellungen · < Hilfe für
Skype
Sie können zwar nicht auf diese E-Mail antworten, aber wenn Sie Hilfe
benötigen, können Sie uns über unseren <Free Skype internet calls and cheap calls to phones online - Skype Hilfebereich
kontaktieren.
Besuchen Sie auch unsere Foren.

Schützen Sie Ihr Kennwort
Skype-Mitarbeiter werden Sie NIEMALS in einer E-Mail um Ihr Kennwort bitten.
Die einzige Situation, in der Sie um die Angabe Ihres Kennworts gebeten
werden, ist beim Anmelden in Skype oder auf unserer Website, wenn Sie etwas
kaufen oder Ihr Konto einsehen möchten. Die Anmeldung erfolgt immer über
eine sichere Verbindung. Bitte versichern Sie sich, dass die Adresse in
Ihrem Browser immer wie folgt beginnt: https://secure.skype.com und dass Ihr
Browser ein kleines Schloss-Symbol anzeigt. Dies weist auf eine sichere
Verbindung hin.

Bitte lassen Sie bei E-Mail-Nachrichten, in denen Sie um Kontoinformationen
gebeten werden oder die dringenden Handlungsbedarf nahelegen, besondere
Vorsicht walten. Des Weiteren ist bei Websites mit eigentümlichen Adressen
oder Websites, die inoffizielle Skype-Downloads anbieten, Vorsicht geboten.
Sicherheitsupdates und Produktaktualisierungen sind unter Free Skype internet calls and cheap calls to phones online - Skype
abrufbar oder können über die Aktualisierungsfunktion der Skype-Software
installiert werden.

© 2003-2012 Skype Limited. Skype Communications S.a.r.l. 23-29 Rives de
Clausen, L-2165 Luxembourg.
Skype, entsprechende Marken und Logos und das "S"-Symbol sind Marken von
Skype.

Es hängt an:
Die Einzelheiten Ihres Einkaufs.zip
Rund 34,1KB groß

Scanergebniss der enthaltenen EXE-Datei:
https://www.virustotal.com/de/file/1...is/1365418934/
SHA256:
15534ba42e0b5218b951ba041a7765445786060024b3b8d007595eb0b031f87b*
Dateiname:
Die Einzelheiten Ihres Einkaufs.pdf.exe*
https://www.virustotal.com/file/15534ba42e0b5218b951ba041a7765445786060024b3b8d007595eb0b031f87b/analysis/1365440546/
MD5: c61e7a9b712091b53bbb5029ef920824
SHA1: 408be8fa86acb80a095828513f748d3607df662d
Detect: 18 / 46

Artemis!C61E7A9B7120 (McAfee)
Trojan.Ransom (Malwarebytes)
Backdoor.Trojan (Symantec)
Win32:Malware-gen (Avast)
Trojan-Ransom.Win32.Blocker.azts (Kaspersky)
Trojan.Ransom.ZE (BitDefender)
Troj/Agent-ABCT (Sophos)
Heur.Suspicious (Comodo)
Trojan.DownLoader8.5817 (DrWeb)
BDS/Androm.EB.94 (AntiVir)
BKDR_ANDROM.DM (TrendMicro)
Artemis!C61E7A9B7120 (McAfee-GW-Edition)
Trojan.Win32.Agent.AMN (A) (Emsisoft)
Trojan.Ransom.ZE (GData)
Backdoor.Trojan (PCTools)
Win32/TrojanDownloader.Wauchos.I (ESET-NOD32)
Suspicious (Rising)
Trojan.Injector (Ikarus)

Es handelt sich hierbei um Backdoor.Andromeda

Die Malware startet eine Kopie ihrer selbst:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"10006
"
c:\dokume~1\alluse~1\dxovrg.exe

dies ist die Kopie des original Backdoors, diese läd den Trojan.Zbot nach:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{EA1178B6-687E-CA32-BA95-58EB2E5E1C2E}
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Koru\pyegleo.exe

die Malware verbindet zu:

efsa-accessoires.de/templates/Red500/admin/mail/german/766.exe

elmara.ru/blog.php

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.[/QUOTE]
- Beachtet die doppelte Dateiändung, hiermit wird versucht euch eine PDF als EXE unterzujubeln

Hallo Marcus,

wer bedellt der bedahlt . Die Frage ist allerdings, wie bekomme ich den Anhang gezippt? Kaspersky hat den Anhang gelöscht (der Anhang befindet sich also nicht im normalen Ordner für Download-Dateien) und eine Sicherungskopie erstellt, die er weiß der Kuckuck wo gespeichert hat. Auf der gmx-Oberfläche im Mailordner ist der Anhang aber noch in seiner Originalfassung. Speichere ich den Anhang in den Media-Center wirds immer noch als komprimierte pdf-Datei angezeigt, ich kanns dort auch nicht zippen. Und auf meiner Festplatte finde ich das olle Teil nicht. Ich hab diesen Virenscanner erst seit ein paar Tagen und weiß nicht, wo der standardmäßig sowas ablegt (unter XP, beim Installieren den Installationspfad nicht geändert). Im Programmordner befindet sich keine Datei mit heutigem Dateidatum und in den Dokumenten und Einstellungen finde ich weder in den Anwendungsdaten noch in den LokalenEinstellungen/Anwendungsdaten einen Kaspersky-Ordner!?

Kurze Frage noch, weil ich denke, dass ein Extra-Thread in dem Fall nicht erforderlich ist:

Leider habe ich versucht, die Datei auf meine Festplatte zu speichern (ich habe derzeit kein installiertes Virenprog, sondern lese und schreibe meine Mehls auf der gmx-Oberfläche), da in der gmx-Oberfläche nicht erkennbar war, dass es sich um eine exe anstatt einer pdf handelt - UND weil die Absender-Domain auch wirklich auf skype lautete (ich war die letzten Tage mehrfach bei skype auf der Homepage eingeloggt - somit es war also theoretisch denkbar, dass ich aus Versehen irgendwas angeklickt habe, was ich gar nicht anklicken wollte) ....

Zitat:

- Beachtet die doppelte Dateiändung, hiermit wird versucht euch eine PDF als EXE unterzujubeln

Was leider auch gelungen ist. Brain.exe hat der Trick ausgetrickst, nachdem die exe-Endung auf der der gmx-Oberfläche nicht erkennbar war

Zitat:

Die Malware startet eine Kopie ihrer selbst:[INDENT]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"10006

Zitat:

- wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.

Da mein Virenprog (Kaspersky) bereits beim Einhang Alarm geschlagen und mit der o.g. Meldung die Datei gelöscht hat, ich somit die Datei also gar nicht ausführen konnte und bei Kontrolle der Regestrie ein solcher Eintrag auch nicht besteht (den Ordner Explorer in diesem policies-Ordner policies gibts überhaupt nicht) nehme ich an, dass ich auch nicht extra einen Thread eröffnen muss?

LG Plüschi

Hi
bei dir ist alles ok.
sende mir die mail dann nicht, gestern gabs nur eine Variannte der software.
Wenn du mehr spam bekommst, gerne an mich