Hallo,

ich habe eine Mail angeblich von der Anwaltskanzlei "Krause & Ludwig" bekommen, wo ich mit meinem Namen angesprochen wurde (der Name war groß geschrieben), Virustotal findet aber nichts, wenn es ein Virus ist, dann ist er neu. Beim Öffnen mit einem Archivprogramm findet man nur eine neue ZIP-Datei. Angeblich soll ich einen Urheberrechtlich geschützten Stream angesehen haben, was ich nicht habe (das mit dem Link zu Virustotal funktioniert bei mir irgendwie nicht).

Mein System ist Ubuntu Mate. Wenn ich richtig gelesen habe, dann ist das letzte Änderungsdatum des ZIP-Archivs 4:00 Uhr 09.09.2018. Soll ich euch die Datei schicken? Ihr seit doch immer interessiert an Viren.

Edit: Wenn ich die zweite ZIP-Datei öffne, kommt eine "com"-Datei zum Vorschein, etwa 650kb groß. Allerdings habe ich vorsichtshalber nicht versucht, sie zu öffnen. Die Dateiendung "com" kenne ich nicht, scheint irgendwie eine Windows-Geschichte zu sein.

Keine seriöse Anwaltskanzlei schickt dir eine Mail mit einer Datei, die ein Script enthält, da wird bei dir eh nix passieren, wegen .com-Endung

Danke für die Antwort. Hier ein Teil des Quelltextes der Mail, wenn es euch interessiert:

Code: Alles auswählenAufklappen

ATTFilter

X-Originating-IP: [192.254.153.37]
Authentication-Results: mta4087.aol.mail.bf1.yahoo.com  from=krause-rechtsanwalt.de; domainkeys=neutral (no sig);  from=hazletonconcertseries.org; dkim=permerror (bad sig)
Received: from 127.0.0.1  (EHLO pre.precisiondesignwebservices.com) (192.254.153.37)
  by mta4087.aol.mail.bf1.yahoo.com with SMTPS; Sun, 09 Sep 2018 18:40:36 +0000
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
	d=hazletonconcertseries.org; s=default; h=Content-Transfer-Encoding:
	Content-Type:MIME-Version:Message-ID:Subject:From:To:Date:Sender:Reply-To:Cc:
	Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:
	Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Id:
	List-Help:List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Archive;
. . .
Received: from hazconcert by pre.precisiondesignwebservices.com with local (Exim 4.91)
	(envelope-from <krause@krause-rechtsanwalt.de>)
	id 1fyqus-0006pW-Mu
         

Allerdings ist das meiste im Quelltext für mich böhmische Dörfer.

Hmmja, die Webseite ist zufälligerweise gerade neu entstanden, die IP aus den US und im Quelltext steht auch nur nix.

Zitat:

Zitat von rwkraemer

Edit: Wenn ich die zweite ZIP-Datei öffne, kommt eine "com"-Datei zum Vorschein, etwa 650kb groß. Allerdings habe ich vorsichtshalber nicht versucht, sie zu öffnen. Die Dateiendung "com" kenne ich nicht, scheint irgendwie eine Windows-Geschichte zu sein.

Das ist eine ausführbare Datei und kann nur unter Windows Schaden anrichten. Weil ausführbare Dateien in dem Maschinencode für die jew. Plattform sein muss. Und das ist halt eben Maschinencode für Windows, die führende Malware-Plattform!

Einfach löschen und vergessen, das ist Massenmalware!

Dass VT überhaupt nichts findet kann nicht sein, du hast da mit Sicherheit was falsches hochgeladen.

Vielleicht findet Virustotal nichts in der .zip, sondern nur direkt in der .com?

Es könnte schon sein, dass es einen Rechtsantwalt Krause gibt, der sich vom Provider https://hostingplus.de seine Webseite aktuell zusammenbauen lässt. Leider gibt das DENIC über das Internet keine Auskunft über den Eigentümer und auf http://krause-rechtsanwalt.de gibt es kein Impressum. Vielleicht mal einen Rechtsanwalt fragen ob das heutzutage noch erlaubt ist ;-) Der MX-Eintrag mail.krause-rechtsanwalt.de deutet darauf hin, dass wohl etwas mehr als nur ein Fake-Webspace dahinter steht. Somit wohl ein echter Rechtsanwalt.

Es ist wohl so, dass irgendjemand die E-Mail-Adresse missbraucht. Statt eines Rechtsantwalts könnte es aber auch sonst eine Behörde oder jemand sein, der den Anwender motiviert auf den Anhang zu klicken. Für den Schadcode eher unwichtig. Für Linux-Anwender wie immer kein Problem.

Ich habe die 2 zip-Dateien und die com-Datei bei Virustotal hochgeladen, bei allen findet er nichts. Es haben offenbar schon weitere User dieselben Dateien bei Virustotal hochgeladen, aber offenbar erst gestern. Ich habe dann die Option angeklickt, dass Virustotal neu analysieren soll, aber dann findet das Programm auch nichts. Ich habe ja vor allem deshalb gepostet, weil der Virus meiner Meinung nach neu ist und das nicht noch mehr Leute darauf hereinfallen. Wie ich schon gepostet habe, zeigt die Datei bei "Eigenschaften" das Änderungsdatum 09.09.2018 4:00 Uhr. Entpackt habe ich sie aber erst einen halben Tag später.

Du kannst mal die entpackten Dateien (COM) zu Virustotal hochladen. Auch kannst du die Links von Virustotal hier posten. Virustotal zeigt dir zudem SHA256- oder MD5-Prüfsummen. Die kannst du mal per Google suchen.

Hier der Link von Virustotal von der entpackten Datei.

https://www.virustotal.com/#/file/05dcadeefaa0c1fd4ca39409bb1ce171e2b652beb9e6bf9e0bc20ba5c4f01e43/detection

Das mit dem Link einfügen klappt bei mir nicht (Vivaldi).

Beim Googlen der Prüfsumme gibt es nur ein Ergebnis, eine Antivirenseite, die behauptet, die Datei ist sauber.

Edit: Komischerweise ändert sich der Name der Datei beim scannen. Es heist nicht mehr "Krause & Ludwig", sondern "Kraus & Schmidt". Auch wenn ich auf das Wiederholenzeichen klicke. Aber ich kenne mich mit Virustotal nicht so aus.

Zitat:

File name Streming Abmahnung Kanzlei Dr. Schmid und Kraus GbR.com.virus

Hast du die Datei umbenannt? Die sieht nicht wirklich nach einer ausführbaren Datei aus:

Code: Alles auswählenAufklappen

ATTFilter

File Type: unknown
Magic: data
         

https://www.mimikama.at/allgemein/tr...sgesellschaft/

Kommt das in etwa mit der Mail hin?

@Cosinus
Die Datei habe ich nicht umbenannt. Ich nehme an, da hat schon vorher jemand eine ähnliche Datei mit der gleichen Prüfsumme hochgeladen. Virustotal zeigt mir nach der Prüfung immer diese Datei an, nicht meine.

@Bootsektor
Ja, es scheint die gleiche Mail zu sein.

Ahh, kommt bei vt auch, dass diese Datei schon mal analysiert wurde und die Frage, ob du sie erneut analysieren möchtest?

Zitat:

Zitat von rwkraemer

Es haben offenbar schon weitere User dieselben Dateien bei Virustotal hochgeladen, aber offenbar erst gestern. Ich habe dann die Option angeklickt, dass Virustotal neu analysieren soll, aber dann findet das Programm auch nichts.

@Bootsektor: Ich denke schon