Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   FRITZ!Box Spam: Fax von 04589016238 (https://www.trojaner-board.de/144462-fritz-box-spam-fax-04589016238-a.html)

markusg 12.11.2013 17:40
FRITZ!Box Spam: Fax von 04589016238
 
Fax von 04589016238



Wer eine Mail mit dem Betreff
Code:

"Fax von 04589016238"
Erhält, sollte diese an uns weiterleiten.
  Von: FRITZ!Box [mailto:pt5203-345@online.de] 
(Gefälschter Absender)
  Betreff: Fax von 04589016238
 
 
 
  Fax von 04589016238
Es hängt an:
12 11 2013_Telefax_04589016238.zip
Rund 76,7KB
Virustotalergebniss der Exe Datei:
https://www.virustotal.com/file/bcc2...is/1384450934/
MD5: 2b98fc188d8dadd4da80c786ee605cc0
SHA1: c40abd79f5550013e7de25322327e5a8e61be653
Detect: 35 / 47

Trojan.Agent.BAUH (MicroWorld-eScan)
TrojanRansom.Gimemo.bly (CAT-QuickHeal)
RDN/Ransom!du (McAfee)
Trojan.Crypt.NKN (Malwarebytes)
Trojan ( 00071a9a1 ) (K7AntiVirus)
Trojan ( 00071a9a1 ) (K7GW)
Posible_Worm32 (TheHacker)
W32/Trojan3.GLV (F-Prot)
Trojan.Zbot (Symantec)
Gimemo.E (Norman)
Win32/Gamarue.PYabIIB (TotalDefense)
TROJ_INJECTO.BXX (TrendMicro-HouseCall)
Win32:Viknok-O [Cryp] (Avast)
Trojan-Ransom.Win32.Gimemo.blyq (Kaspersky)
Trojan.Agent.BAUH (BitDefender)
Trojan-Downloader.Win32.Agent (A) (Emsisoft)
TrojWare.Win32.UMal.~A (Comodo)
Trojan.Agent.BAUH (F-Secure)
Trojan.DownLoad3.28650 (DrWeb)
Trojan.Win32.Generic!BT (VIPRE)
TR/Rogue.AI.11125 (AntiVir)
TROJ_INJECTO.BXX (TrendMicro)
Heuristic.BehavesLike.Win32.Suspicious-PKR.G (McAfee-GW-Edition)
Troj/VBInj-GR (Sophos)
Trojan/Win32.Gimemo (Antiy-AVL)
Worm:Win32/Gamarue (Microsoft)
Trojan.Win32.S.Agent.82085 (ViRobot)
Trojan.Agent.BAUH (GData)
W32/Trojan.SYHD-5934 (Commtouch)
Trojan/Win32.Gimemo (AhnLab-V3)
Win32/TrojanDownloader.Wauchos.Q (ESET-NOD32)
Trojan.Injector (Ikarus)
W32/Gimemo.BLYQ!tr (Fortinet)
Generic_vb.KK (AVG)
Trj/Genetic.gen (Panda)



Es handelt sich hierbei um Gamarue
Die Malware verbindet zu folgenen Hosts:
94.73.149.20/elly.exe
beo.su/alter.php
treppe-owl.d/frenk.exe
Es werden FTP und andere Passwörter gestohlen.
Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
Log-Analyse und Auswertung - Trojaner-Board
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen
Code:
http://www.trojaner-board.de/144462-fritz-box-spam-fax-04589016238-a.html

1Klaus1960 12.11.2013 20:00
Hallo,
ich bin neu und hoffe ich mache jetzt nichts falsch wenn ich hier antworte, weil man ja nicht in fremde Themen Posten soll.

Also, ich habe in meinem Maileingangskorb mehrfach so eine Mail bekommen, welche so aussah als wäre es ein Fax, welches von der Fritzbox gesendet wurde.

Erst als ich das Zip geöffnet habe:headbang: und darin eine exe Datei gefunden habe, habe ich gemerkt das da was nicht stimmt. Das Exe File habe ich aber nicht geöffnet.

Frage 1: kann durch das öffnen der Zip Datei bereits Schadsoftware installiert worden sein? Ich nutzte Winrar x64 V3.93 zum öffnen der Zip Datei.

Frage 2: Unter 04589016238 =angebliche Absendefaxnummer findet man zwar viel im Google über den Trojaner, ich habe aber noch niergens einen Hinweis gefunden wie man den PC prüfen kann ob der Trojaner aktiv (auf dem PC) ist.

Falls ich den Mailanhang senden soll bitte Bescheid sagen.

Danke für eure Antworten:abklatsch:

markusg 12.11.2013 20:05
Hi,
warum öffnet man anhänge von fremden, kanntest du die nummer?
wenn du nur das Archiv geöffnet hast, kann nichts passieren.
Wenn du mehr spam bzw verdächtiges bekommst, bitte an uns.

1Klaus1960 12.11.2013 20:27
Hallo Markusg,

danke für deine Antwort.
Dein Satz:
Zitat:
wenn du nur das Archiv geöffnet hast, kann nichts passieren.
beruhigt mich sehr.

Ich hatte die Mail geöffnet, weil sie genau so aussah als käme sie von der Fritz Box. Dort habe ich ein Fax eingerichtet.


Vielleicht könntest du mir trotzdem noch einige Fragen beantworten.
1. War das nun richtig hier zu antworten oder hätte ich ein eigenes Thema erstellen sollen?
Falls es richtig war hier zu antworten, wie kann ich das zukünftig unterscheiden. (Möchte ja alles richtig machen, wenn man schon so toll geholfen bekommt)

2. ich habe noch Fragen zu Software gegen Malware , wo kann ich denn am besten diese Frage stellen?

LG Klaus:daumenhoc

markusg 12.11.2013 20:30
Hi,
fragen passend zum thema kannst du hier stellen, fragen betreffend der bereinigung des pcs unter logfile bzw plagegeister, fragen zur schutzsoftware z.B. unter antivirensoftware.
ich kann dir auch edine empfehlen
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
Computeractive Software Store - Emsisoft Anti-Malware 8 [1-PC] - 63% off RRP
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.
kostet so um die 15 €, konfig hinweise kann ich gern posten

commba 12.11.2013 20:41
Hallo Markus,

Klasse und Danke, dass Du den Anhang so schnell analysiert hast.

Gruß,
Werner :daumenhoc

markusg 12.11.2013 20:44
Kein Problem.
Mal sehen ob ich noch was über die mobile Komponennte mache, wenn ich sie erhalte und es vor morgen noch schaffe, da bin ich erst mal weg für ein paar tage.
Wenn du auch Spam bekommst, dann bitte an uns :-)

commba 12.11.2013 20:50
Zitat:
Zitat von markusg (Beitrag 1192539)
Kein Problem.
Mal sehen ob ich noch was über die mobile Komponennte mache, wenn ich sie erhalte und es vor morgen noch schaffe, da bin ich erst mal weg für ein paar tage.
Wenn du auch Spam bekommst, dann bitte an uns :-)
Die Mail und der Anhang war von mir ;-)

Wenn was neues reinkommt, gleich als Weiterleitung an dich oder besser dann als gezippte Datei?

Gruß,
Werner

markusg 12.11.2013 20:51
Hi,
wenn du as als eml speichern kannst, dann mal bitte anhängen, zippen z.B. oder weiterleiten.
sorry, hab die so oft bekommen das ich nicht weis welche da deine war.

paohlboerger 14.11.2013 18:36
Hallo ich habe auch diese Fritzbox Fax e-mail bekommen.
Da ich sehr vorsichtig bin, habe ich diesen Anhang nicht geöffnet und die Mail gleich gelöscht. Auch im Papierkorb von Thunderbird habe ich die Mail gelöscht.

Dann habe ich den DE-Cleaner Rettungssystem mit der neuesten Virendatei upgedatet und dann von einem USB-Stick laufenlassen. Gebootet vom USB Stick.

Trotz der nicht geöffneten zip Datei, wurde der Trojaner TR/Rogue.AI.11125 gefunden und renamed.
Die Meldung lautet:

ALERT: [TR/Rogue.AI.11125] /media/sda1/Users/Uli/AppData/Roaming/Avira/AntiVir Desktop/MCACHE/UVPCXAEY2T4MP9CEZ --> 12 11 2013_Telefax_04589016238.zip --> 12 11 2013_Telefax_04589016238.exe <<< Is the Trojan horse TR/Rogue.AI.11125

Jetzt frage ich, wie dieses Teil trotzdem auf meinem Rechner war.

Interessant ist der Fundort.

mort 14.11.2013 19:24
Zitat:
12 11 2013_Telefax_04589016238.zip --> 12 11 2013_Telefax_04589016238.exe
Die Datei liegt in der Zip-Datei.

Zitat:
Interessant ist der Fundort
Was meinst du mit Interessant? Der Fund liegt in Aviras Temporärordner.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19