Spam: ist mir wurst
 

ist mir Wurst:



Wer eine Mail mit dem Betreff
Erhält, sollte diese an uns weiterleiten.

From
Weiterhin wird im Header auf folgene Organisation hingewiesen:
Sovereign Bancorp Inc.
Diese gibt es heute so nicht mehr, gehört zur Santander Group.
Betreff: ist mir Wurst:


Sie wurde entlarvt.
Den Chat siehst du angehдngt.
Sie ist eine echte Nutte.
Was meinst du? Wird er sie nach dieser ScheiЯe verlassen?
Nachdem was sie uns angetan hat, denke ich, dass wir etwas von ihr verlangen sollten,
damit wir still sind. Aber nach einer Weile senden wir ihm den Chat trotzdem ;)
Sag mir, was du dazu sagst, wenn du das hier bekommen hast./CODE]
Es hängt an:
log (7).zip, Rund 2KB groß, Entpackt ist die Datei an die 5 KB.
Gutscheincode_id_8598.js
Virustotal Ergebniss des enthaltenen Javascript files:
SHA256:<br />
6511540875d65915ecf955eed535168380c6b1bd9a7e554816d9be47d29099a4
https://virustotal.com/de/file/65115...is/1464797786/
Dateiname:
Gutscheincode_id_8598.js
Erkennungsrate:
Arcabit
HEUR.JS.Trojan.ba
20160601
Avira (no cloud)
HTML/ExpKit.Gen6
20160601
Cyren
JS/Nemucod.BB1!Eldorado
20160601
ESET-NOD32
JS/TrojanDownloader.Nemucod.AAP
20160601
F-Prot
JS/Nemucod.BB1!Eldorado
20160601
Fortinet
JS/Nemucod.46F4!tr.dldr
20160601
Kaspersky
HEUR:Trojan-Downloader.Script.Generic
20160601
McAfee
JS/Nemucod.ho
20160601
McAfee-GW-Edition
JS/Nemucod.ho
20160601
Rising
Downloader.Nemucod!8.34-38VivY4IqgM (Cloud)
20160601
Sophos
JS/DwnLdr-NLV
20160601
Symantec
JS.Downloader

Es handelt sich hierbei um ein codiertes Javascript
die Malware verbindet zu:
Virustotal Ergebniss der nachgeladenen EXE-Datei::
SHA256:
25e830aa008e88c8f5cd2414b567b0968254630cb545bf41e7f0d70b96923abd
https://virustotal.com/de/file/25e83...is/1464798571/
Dateiname:
3105.exe
Erkennungsrate:
AVG
Inject3.ASKB
20160601
AhnLab-V3
Trojan/Win32.Cerber
20160601
DrWeb
Trojan.Encoder.4691
20160601
ESET-NOD32
a variant of Win32/Injector.CZMD
20160601
Kaspersky
UDS:DangerousObject.Multi.Generic
20160601
Malwarebytes
Ransom.Cerber
20160601
McAfee-GW-Edition
BehavesLike.Win32.Trojan.cc
20160601
Qihoo-360
HEUR/QVM42.1.Malware.Gen

Es handelt sich hierbei um Cerber Ransomware
Folgene Autostart Einträge werden erstellt:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
dnscacheugc
C:\Users\x\AppData\Roaming\{933B2DF9-3F58-70A5-D4CA-6137BA3AE2B1}\dnscacheugc.exe
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\\RunOnce
dnscacheugc
C:\Users\x\AppData\Roaming\{933B2DF9-3F58-70A5-D4CA-6137BA3AE2B1}\dnscacheugc.exe
die Malware verbindet zu:
cerberhhyed5frqa.amdeu5.win/d6d7-a925-5fe6-0291-1e2c
cerberhhyed5frqa.fgfid6.win/d6d7-a925-5fe6-0291-1e2c
cerberhhyed5frqa.onion/d6d7<blockquote></blockquote>cerberhhyed5frqa.sdfiso.win/d6d7-a925-5fe6-0291-1e2c
Diese Malware läd evtl. weiteres nach
Diese malware verschlüsselt persönliche Daten, erkennbar an der Endung .cerber, sie benötigt dafür keine Internetverbindung.

Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
http://markusg.trojaner-board.de/
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/plagege...n-bekaempfung/
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen

Cool, sowas sollte in einer eigenen Sparte oefter gemacht werden.

Allerdings mache ich mir die Arbeit meist nicht sondern schicke es gleich weiter an Avira und warte dann auf die Mail, dass die Signaturen eingepflegt wurden.

Statt Absender zu lesen oder zu posten sollte man lieber schauen welcher Mailserver den Spam rübergereicht hat. JavaScript selbst ist auch nicht kritisch. Bis jetzt habe ich vor allem nur von JS/Redirector gelesen, die dann z.B. auf EXE usw. umleiten. Aber auch das ist noch nicht kritisch. Bei Linux sind ausführbare Dateien (.sh) gar nicht ausführbar markiert. Und bei Windows wird doch auch noch mal gefragt ob man wirklich die EXE-Datei starten will. Somit keine Gefahr. Windows arbeitet vollkommen korrekt. Der Anwender ist das Problem, der einfach jede Meldung ungelesen bestätigt. Weit einfacher wäre es ein Script zu verteilen, dass einfach nur die Platte formatieren will. Würde ähnlich gut funktionieren. Die Dummheit des Anwenders ist unbegrenzt.

Die Anwender wurden aber durch Windows und auch viele Programme für Windows so erzogen, jeden Sch... abzunicken. Und gerade bei Vista, tw. auch bei Windows 7, ist die UAC doch schon nervig. Also was machst man, richtig, man stellt diese nervige UAC aus :abklatsch:

Eine Datei generell unter Linux ausführbar machen ohne dass man nach dem Abspeichern dieser erstmal ein chmod +x macht ist da doch schon etwas aufwändiger :D

Das ändert auch nur etwas für den Moment...

Das ist auch etwas zu einfach gedacht. Nehmen wir an, der Durchschnittsanwender würde jede Meldung gelesen bestätigen - was würde sich ändern? Wohl eher wenig. Warum? Nur, weil man etwas gelesen hat, heißt es noch lange nicht, dass man auch die Folgen, die der einzige Klick auslösen kann, auch umreißt.

Ob dann die Meldung überhaupt verstanden wurde, steht auf einem ganz anderen Blatt.

Es ist einfach zu viel Unwissenheit - gepaart mit Naivität, Gier oder was auch immer vorhanden. Sonst gäbe es wohl kaum so viele Infektionen mit Schadsoftware oder Betrugsfälle.