Hallo
ich habe gerade ein fiktives Mahnschreiben per E-Mail erhalten, im Anhang ist ein ZIP, darin ein ZIP, darin eine .com Datei, höchstwahrscheinlich also ein Virus, habe es gar nicht mehr weiter angeschaut.
Das verblüffende ist, dass im Mail mein alter Name (ich habe vor 10 Jahren geheiratet und den Namen meiner Frau angenommen) steht, aber auch meine korrekte, aktuelle Adresse!

Wie kommen die Virenverbreiter an meine korrekte aktuelle Adresse?
In Verbindung mit meinem uralten Nachnamen?
Sehr sonderbar.
Kann es von Denic Einträgen ausgelesen worden sein? Ich habe ein paar Domains gemeldet, aber eigentlich alle mit meinem aktuellen Namen und maschinell kann man das ja auch nicht auslesen, dachte ich.

Jemand eine Idee?

Danke

franc

Adresshandel. Deine Adresse wird mit deinem geschätzten Einkommen und deinen vermuteten Interessen und Konsumvorlieben von Pontius nach Pilatus verkauft. Manche Käufer sind nicht "nur" in der Werbebranche sondern richtig kriminell.

Ich habe auch den Eindruck dass in manchen Firmen die deine Daten legal haben der eine oder andere Mitarbeiter ich durch Adressverkauf ein illegales Zubrot verdient.


Bei Interesse kannst du den Anhang auf virustotal.com oder jotti.org hochladen und prüfen lassen was drin ist,

Das Ergebnis ist erschreckend.
Erkennungsrate (nur!): 7 / 61
Die ganze bekannteren Scanner denken es ist OK. Wahnsinn. Auf die darf man sich also nicht verlassern.
Dabei ist es fast sicher, dass das Ding ein Virus ist.
Eine (binäre) COM-Datei, in zwei ZIP gepackt, damit es nicht so leicht erscannt werden kann, was soll das denn bitte sonst sein.

Prima, dann lade das Ding bitte auch auf die andere AV Plattform hoch. Diese Plattformen stellen nicht nur uns ein einfache und sichere Methode vor verdächtige Dateien zu scannen sondern sie stellen diese Dateien den AV Herstellern zur Verfügung. Indem du also diese recht neue Bedrohung hochgeladen hast trägst du dazu bei dass bald mehr AV Programme die Schadsoftware erkennen.

Welcbe Art Trojaner war es denn ? Die Namen die die Programme ihm geben verraten das meist.


Edit: Wirf das Ding mal noch nicht weg, vielleicht will einer der TB Helfer es sich ansehen. Verwahre es solange so dass kein eventueller Mitbenutzer deines Rechners das Ding ausversehen startet,..

Kannst es ja mal morgen und übermorgen wieder hochladen um zu sehen wie schnell die einzelnen Hersteller reagieren.

Komisch, eigentlich hatte ich unter dem Wort "Ergebnis" den Link hinterlegt.
Jetzt kann ich den Beitrag aber nicht mehr editieren, daher hier der Link auf das Ergebnis (muss man manuell kopieren):

https://virustotal.com/de/file/b4e79ac3a74c2426ebee580293ea0df1c6da5e427ea59f66c9aeaca693d513c6/analysis/

SHA256: b4e79ac3a74c2426ebee580293ea0df1c6da5e427ea59f66c9aeaca693d513c6
Dateiname: Thomas Drews.com
Analyse-Datum: 2017-04-06 15:18:27 UTC ( vor 4 Stunden, 48 Minuten )

Zitat:

Antivirus Ergebnis Aktualisierung
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9978 20170406
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20170130
Endgame malicious (moderate confidence) 20170406
Invincea virus.win32.nabucur.d 20170203
Qihoo-360 HEUR/QVM20.1.4E04.Malware.Gen 20170406
Rising Malware.Heuristic!ET#97% (rdm+) 20170406
Symantec ML.Attribute.HighConfidence 20170406

Die Datei war Virustotal schon bekannt (natürlich).

EDIT: Ah, die Forensoftware haut die Links wieder raus, na danke. Ist wohl etwas scharf eingestellt hier

Bei Jotti.org wird es noch seltener erkannt übrigens. Nur einmal von Eset.

Laut dieser Beschreibung ist es "nur" Adware. Aber anscheinend sehr sehr hartnäckig.

https://www.fixyourbrowser.com/remov...50-9999-virus/