Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)
-   -   Mail von Anwaltskanzlei (ubuntu mate) Virustotal findet nichts (https://www.trojaner-board.de/193042-mail-anwaltskanzlei-ubuntu-mate-virustotal-findet-nichts.html)

rwkraemer 09.09.2018 20:16
Mail von Anwaltskanzlei (ubuntu mate) Virustotal findet nichts
 
Hallo,

ich habe eine Mail angeblich von der Anwaltskanzlei "Krause & Ludwig" bekommen, wo ich mit meinem Namen angesprochen wurde (der Name war groß geschrieben), Virustotal findet aber nichts, wenn es ein Virus ist, dann ist er neu. Beim Öffnen mit einem Archivprogramm findet man nur eine neue ZIP-Datei. Angeblich soll ich einen Urheberrechtlich geschützten Stream angesehen haben, was ich nicht habe (das mit dem Link zu Virustotal funktioniert bei mir irgendwie nicht).

Mein System ist Ubuntu Mate. Wenn ich richtig gelesen habe, dann ist das letzte Änderungsdatum des ZIP-Archivs 4:00 Uhr 09.09.2018. Soll ich euch die Datei schicken? Ihr seit doch immer interessiert an Viren.

Edit: Wenn ich die zweite ZIP-Datei öffne, kommt eine "com"-Datei zum Vorschein, etwa 650kb groß. Allerdings habe ich vorsichtshalber nicht versucht, sie zu öffnen. Die Dateiendung "com" kenne ich nicht, scheint irgendwie eine Windows-Geschichte zu sein.

Bootsektor 09.09.2018 20:42
Keine seriöse Anwaltskanzlei schickt dir eine Mail mit einer Datei, die ein Script enthält, da wird bei dir eh nix passieren, wegen .com-Endung :)

rwkraemer 09.09.2018 20:56
Danke für die Antwort. Hier ein Teil des Quelltextes der Mail, wenn es euch interessiert:

Code:
X-Originating-IP: [192.254.153.37]
Authentication-Results: mta4087.aol.mail.bf1.yahoo.com  from=krause-rechtsanwalt.de; domainkeys=neutral (no sig);  from=hazletonconcertseries.org; dkim=permerror (bad sig)
Received: from 127.0.0.1  (EHLO pre.precisiondesignwebservices.com) (192.254.153.37)
  by mta4087.aol.mail.bf1.yahoo.com with SMTPS; Sun, 09 Sep 2018 18:40:36 +0000
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
        d=hazletonconcertseries.org; s=default; h=Content-Transfer-Encoding:
        Content-Type:MIME-Version:Message-ID:Subject:From:To:Date:Sender:Reply-To:Cc:
        Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:
        Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Id:
        List-Help:List-Unsubscribe:List-Subscribe:List-Post:List-Owner:List-Archive;
. . .
Received: from hazconcert by pre.precisiondesignwebservices.com with local (Exim 4.91)
        (envelope-from <krause@krause-rechtsanwalt.de>)
        id 1fyqus-0006pW-Mu
Allerdings ist das meiste im Quelltext für mich böhmische Dörfer.

Bootsektor 09.09.2018 21:02
Hmmja, die Webseite ist zufälligerweise gerade neu entstanden, die IP aus den US und im Quelltext steht auch nur nix. :D

cosinus 10.09.2018 11:05
Zitat:
Zitat von rwkraemer (Beitrag 1702239)
Edit: Wenn ich die zweite ZIP-Datei öffne, kommt eine "com"-Datei zum Vorschein, etwa 650kb groß. Allerdings habe ich vorsichtshalber nicht versucht, sie zu öffnen. Die Dateiendung "com" kenne ich nicht, scheint irgendwie eine Windows-Geschichte zu sein.
Das ist eine ausführbare Datei und kann nur unter Windows Schaden anrichten. Weil ausführbare Dateien in dem Maschinencode für die jew. Plattform sein muss. Und das ist halt eben Maschinencode für Windows, die führende Malware-Plattform! :p

Einfach löschen und vergessen, das ist Massenmalware!

Dass VT überhaupt nichts findet kann nicht sein, du hast da mit Sicherheit was falsches hochgeladen.

Fragerin 10.09.2018 13:17
Vielleicht findet Virustotal nichts in der .zip, sondern nur direkt in der .com?

iceweasel 10.09.2018 13:24
Es könnte schon sein, dass es einen Rechtsantwalt Krause gibt, der sich vom Provider https://hostingplus.de seine Webseite aktuell zusammenbauen lässt. Leider gibt das DENIC über das Internet keine Auskunft über den Eigentümer und auf http://krause-rechtsanwalt.de gibt es kein Impressum. Vielleicht mal einen Rechtsanwalt fragen ob das heutzutage noch erlaubt ist ;-) Der MX-Eintrag mail.krause-rechtsanwalt.de deutet darauf hin, dass wohl etwas mehr als nur ein Fake-Webspace dahinter steht. Somit wohl ein echter Rechtsanwalt.

Es ist wohl so, dass irgendjemand die E-Mail-Adresse missbraucht. Statt eines Rechtsantwalts könnte es aber auch sonst eine Behörde oder jemand sein, der den Anwender motiviert auf den Anhang zu klicken. Für den Schadcode eher unwichtig. Für Linux-Anwender wie immer kein Problem.

rwkraemer 10.09.2018 13:27
Ich habe die 2 zip-Dateien und die com-Datei bei Virustotal hochgeladen, bei allen findet er nichts. Es haben offenbar schon weitere User dieselben Dateien bei Virustotal hochgeladen, aber offenbar erst gestern. Ich habe dann die Option angeklickt, dass Virustotal neu analysieren soll, aber dann findet das Programm auch nichts. Ich habe ja vor allem deshalb gepostet, weil der Virus meiner Meinung nach neu ist und das nicht noch mehr Leute darauf hereinfallen. Wie ich schon gepostet habe, zeigt die Datei bei "Eigenschaften" das Änderungsdatum 09.09.2018 4:00 Uhr. Entpackt habe ich sie aber erst einen halben Tag später.

iceweasel 10.09.2018 13:30
Du kannst mal die entpackten Dateien (COM) zu Virustotal hochladen. Auch kannst du die Links von Virustotal hier posten. Virustotal zeigt dir zudem SHA256- oder MD5-Prüfsummen. Die kannst du mal per Google suchen.

rwkraemer 10.09.2018 18:35
Hier der Link von Virustotal von der entpackten Datei.

https://www.virustotal.com/#/file/05dcadeefaa0c1fd4ca39409bb1ce171e2b652beb9e6bf9e0bc20ba5c4f01e43/detection

Das mit dem Link einfügen klappt bei mir nicht (Vivaldi).

Beim Googlen der Prüfsumme gibt es nur ein Ergebnis, eine Antivirenseite, die behauptet, die Datei ist sauber.

Edit: Komischerweise ändert sich der Name der Datei beim scannen. Es heist nicht mehr "Krause & Ludwig", sondern "Kraus & Schmidt". Auch wenn ich auf das Wiederholenzeichen klicke. Aber ich kenne mich mit Virustotal nicht so aus.

cosinus 10.09.2018 21:33
Zitat:
File name Streming Abmahnung Kanzlei Dr. Schmid und Kraus GbR.com.virus
Hast du die Datei umbenannt? Die sieht nicht wirklich nach einer ausführbaren Datei aus:

Code:
File Type: unknown
Magic: data

Bootsektor 10.09.2018 21:46
https://www.mimikama.at/allgemein/tr...sgesellschaft/

Kommt das in etwa mit der Mail hin?

rwkraemer 11.09.2018 04:44
@Cosinus
Die Datei habe ich nicht umbenannt. Ich nehme an, da hat schon vorher jemand eine ähnliche Datei mit der gleichen Prüfsumme hochgeladen. Virustotal zeigt mir nach der Prüfung immer diese Datei an, nicht meine.

@Bootsektor
Ja, es scheint die gleiche Mail zu sein.

Bootsektor 11.09.2018 06:59
Ahh, kommt bei vt auch, dass diese Datei schon mal analysiert wurde und die Frage, ob du sie erneut analysieren möchtest?

Explo 11.09.2018 07:23
Zitat:
Zitat von rwkraemer (Beitrag 1702303)
Es haben offenbar schon weitere User dieselben Dateien bei Virustotal hochgeladen, aber offenbar erst gestern. Ich habe dann die Option angeklickt, dass Virustotal neu analysieren soll, aber dann findet das Programm auch nichts.
@Bootsektor: Ich denke schon :applaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:19 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131