Mail von Anwaltskanzlei (ubuntu mate) Virustotal findet nichts
 

Hallo,

ich habe eine Mail angeblich von der Anwaltskanzlei "Krause & Ludwig" bekommen, wo ich mit meinem Namen angesprochen wurde (der Name war groß geschrieben), Virustotal findet aber nichts, wenn es ein Virus ist, dann ist er neu. Beim Öffnen mit einem Archivprogramm findet man nur eine neue ZIP-Datei. Angeblich soll ich einen Urheberrechtlich geschützten Stream angesehen haben, was ich nicht habe (das mit dem Link zu Virustotal funktioniert bei mir irgendwie nicht).

Mein System ist Ubuntu Mate. Wenn ich richtig gelesen habe, dann ist das letzte Änderungsdatum des ZIP-Archivs 4:00 Uhr 09.09.2018. Soll ich euch die Datei schicken? Ihr seit doch immer interessiert an Viren.

Edit: Wenn ich die zweite ZIP-Datei öffne, kommt eine "com"-Datei zum Vorschein, etwa 650kb groß. Allerdings habe ich vorsichtshalber nicht versucht, sie zu öffnen. Die Dateiendung "com" kenne ich nicht, scheint irgendwie eine Windows-Geschichte zu sein.

Keine seriöse Anwaltskanzlei schickt dir eine Mail mit einer Datei, die ein Script enthält, da wird bei dir eh nix passieren, wegen .com-Endung :)

Danke für die Antwort. Hier ein Teil des Quelltextes der Mail, wenn es euch interessiert:

Allerdings ist das meiste im Quelltext für mich böhmische Dörfer.

Hmmja, die Webseite ist zufälligerweise gerade neu entstanden, die IP aus den US und im Quelltext steht auch nur nix. :D

Das ist eine ausführbare Datei und kann nur unter Windows Schaden anrichten. Weil ausführbare Dateien in dem Maschinencode für die jew. Plattform sein muss. Und das ist halt eben Maschinencode für Windows, die führende Malware-Plattform! :p

Einfach löschen und vergessen, das ist Massenmalware!

Dass VT überhaupt nichts findet kann nicht sein, du hast da mit Sicherheit was falsches hochgeladen.

Vielleicht findet Virustotal nichts in der .zip, sondern nur direkt in der .com?

Es könnte schon sein, dass es einen Rechtsantwalt Krause gibt, der sich vom Provider https://hostingplus.de seine Webseite aktuell zusammenbauen lässt. Leider gibt das DENIC über das Internet keine Auskunft über den Eigentümer und auf http://krause-rechtsanwalt.de gibt es kein Impressum. Vielleicht mal einen Rechtsanwalt fragen ob das heutzutage noch erlaubt ist ;-) Der MX-Eintrag mail.krause-rechtsanwalt.de deutet darauf hin, dass wohl etwas mehr als nur ein Fake-Webspace dahinter steht. Somit wohl ein echter Rechtsanwalt.

Es ist wohl so, dass irgendjemand die E-Mail-Adresse missbraucht. Statt eines Rechtsantwalts könnte es aber auch sonst eine Behörde oder jemand sein, der den Anwender motiviert auf den Anhang zu klicken. Für den Schadcode eher unwichtig. Für Linux-Anwender wie immer kein Problem.

Ich habe die 2 zip-Dateien und die com-Datei bei Virustotal hochgeladen, bei allen findet er nichts. Es haben offenbar schon weitere User dieselben Dateien bei Virustotal hochgeladen, aber offenbar erst gestern. Ich habe dann die Option angeklickt, dass Virustotal neu analysieren soll, aber dann findet das Programm auch nichts. Ich habe ja vor allem deshalb gepostet, weil der Virus meiner Meinung nach neu ist und das nicht noch mehr Leute darauf hereinfallen. Wie ich schon gepostet habe, zeigt die Datei bei "Eigenschaften" das Änderungsdatum 09.09.2018 4:00 Uhr. Entpackt habe ich sie aber erst einen halben Tag später.

Du kannst mal die entpackten Dateien (COM) zu Virustotal hochladen. Auch kannst du die Links von Virustotal hier posten. Virustotal zeigt dir zudem SHA256- oder MD5-Prüfsummen. Die kannst du mal per Google suchen.

Hier der Link von Virustotal von der entpackten Datei.

https://www.virustotal.com/#/file/05dcadeefaa0c1fd4ca39409bb1ce171e2b652beb9e6bf9e0bc20ba5c4f01e43/detection

Das mit dem Link einfügen klappt bei mir nicht (Vivaldi).

Beim Googlen der Prüfsumme gibt es nur ein Ergebnis, eine Antivirenseite, die behauptet, die Datei ist sauber.

Edit: Komischerweise ändert sich der Name der Datei beim scannen. Es heist nicht mehr "Krause & Ludwig", sondern "Kraus & Schmidt". Auch wenn ich auf das Wiederholenzeichen klicke. Aber ich kenne mich mit Virustotal nicht so aus.

Hast du die Datei umbenannt? Die sieht nicht wirklich nach einer ausführbaren Datei aus:

https://www.mimikama.at/allgemein/tr...sgesellschaft/

Kommt das in etwa mit der Mail hin?

@Cosinus
Die Datei habe ich nicht umbenannt. Ich nehme an, da hat schon vorher jemand eine ähnliche Datei mit der gleichen Prüfsumme hochgeladen. Virustotal zeigt mir nach der Prüfung immer diese Datei an, nicht meine.

@Bootsektor
Ja, es scheint die gleiche Mail zu sein.

Ahh, kommt bei vt auch, dass diese Datei schon mal analysiert wurde und die Frage, ob du sie erneut analysieren möchtest?

@Bootsektor: Ich denke schon :applaus:

Ja jetzt sehe ich es auch - die Umbenennung ändert auch nichts am Inhalt der Datei selbst, ich wollte nur wissen, ob das ".virus" dahinter vllt von irgendeinem AV kommen könnte, der diese Datei verschlüsselt in seine Quarantäne gesteckt hat.

Hier ist der Dateiname: "Streming Mahnung Kanzlei Krause + Ludwig GbR.com"

Virustotal bietet bei mir keine erneute Analyse an. Ich klicke dann auf ein Symbol rechts oben, wo dann eine Wiederholungsoption angeboten wird. Es ist dann aber auch ein anderer Dateiname. Wie gesagt, bin kein Experte bei Virustotal.

Jetzt weiß ich, warum die Verwirrung um Virustotal entstanden ist. Ich habe auf der englischen Seite die Datei analysieren lassen, dass es auch eine deutsche Seite gibt, hatte ich vergessen. Hier der Link:

https://www.virustotal.com/de/file/05dcadeefaa0c1fd4ca39409bb1ce171e2b652beb9e6bf9e0bc20ba5c4f01e43/analysis/1536687777/

Aber hier findet Virustotal auch nichts.

Wenn du Spass daran hast, schick sie doch mal an einen AV-Hersteller deiner Wahl und frag die, was das ist und warum sie es nicht erkennen, ansonsten ist die Sache ja sehr eindeutig. Sauber ist das nicht. :)
Und es ist komplett irrelevant, ob du vt auf english, deutsch oder badisch nutzt.

Mit der Datei ist aber irgendwas nicht in Ordnung. Die hat zwar die Endung .com wird aber nicht als ausführbare Datei von VT erkannt.

Ja, das sehe ich auch so, die Frage ist nur, hat das jetzt wirklich Relevanz?

Wenn die Datei nicht ausfühbar ist kann sie so keinen Schaden anrichten. Haben die Spammer sich vertan? Wäre auch denkbar.

Die kann eh da so keinen Schaden anrichten. Auch, wenn sie ausführbar wäre. ;)

Ich meinte auch wenn der TO Windows nutzen täte :p

Ja, also, dann... dann wäre das natürlich eine ganz andere Geschichte...
(Abgesehen davon, dass die Mail an und für sich schon ein Indikator dafür ist, dass Malware vorhanden sein muss und ein Zip-Archiv mit ner .com Datei auch schon zwei weitere Indikatoren dafür sind)

Ich habe die com-Datei jetzt an Avira gesendet. Mal sehen, ob ich eine Rückmeldung bekomme.

Ich bin gespannt. Normalerweise antworten sie recht zuverlässig.

Ich wollte nur noch mitteilen, dass Avira zwar in einer Mail bestätigt hat, dass die Datei eingegangen ist, aber seitdem habe ich nichts gehört. Aber vielleicht kommt das ja noch.