Achtung: Gefälschte 1&1-Mails!
 

Wieder mal die alte Leier, mehr unter heise online - 1&1 warnt Kunden vor gefälschten Rechnungen

Gruß :daumenhoc
Yopie

Na Klasse micht hats erwischt und meine Sis hats geöffnet....
War das letzte mal das die hier ran kommt..^^

Gibt es was dagegen?

Gegen die Schwester? Ein eingeschränktes Benutzerkonto.

Gegen den installierten Trojaner? Ich rate zur Neuinstallation. Wenn du das nicht machen willst, poste mal ein Hijackthis-Logfile mit kurzer Angabe zur Vorgeschichte in das entsprechende Unterforum.

Gruß :daumenhoc
Yopie

Kompromittierung durch gefälschte eMail von 1&1

Wer die eMail bekommen und die Anlage geöffnet/ausgeführt hat, kann den darin enthaltenen BackdoorTrojaner nur noch mit einer Neuinstallation bereinigen!

Die ausführbare Datei trägt den Trojaner "Backdoor.Win32.agent.abf" in sich, der laut Naiin derzeit nur von mit heuristischen Technologien ausgestatteten Antiviren-Programmen aufgespürt werden kann, aber nicht gelöscht wird!

Definition "Backdoor.Win32.agent.abf":
(Remotesteuerung!)

Der Backdoor öffnet einen beliebigen TCP-Port, um dem Übeltäter remote-Zugang zur infizierten Maschine zu geben.

Der Backdoor hat die Möglichkeit, auf die infizierte Maschine, beliebige Dateien zu laden, sie zu starten, zu entfernen, verschiedene Prozesse abzuschließen und Informationen über den Computer und seinen Eigentümer zu erhalten.


Ich hoffe der Beitrag war informativ genug, das auch der letzte Betroffene weiß was zu tun ist, wenn die eMail geöffnet wurden ist. ;)

Gruß
Sunny

http://www.trojaner-board.de/35081-t...r-problem.html

Manchmal ist man geneigt mit der Schrotflinte durchs Forum zu hotten.

Ich denke das ganze Ausmaß der (nennen wir es mal so ->) Katastrophe wird erst in ein paar Tagen auf uns "einschlagen"...

(mich "grault es schon" :o )

:party:

Es ist halt ein Unterschied ob jemand postet "Habe Kopfschmerzen" oder ob er postet "Habe Kopfschmerzen nachdem ich versucht habe, einen Baseball mit dem Kopf zu stoppen." :rolleyes:

Übrigens gibt es verschiedene Versionen des 1&1-Trojaners.

Die aktuelle (letzte Nacht eingetrudelt) wird von Jotti überwiegend als "Haxdoor" erkannt. Die zugehörige md5sum ist ad8e76618481ff89e4e9eb54c8c632b9. Sie ist bedeutend größer als der Schädling der ersten Welle (19a960f2ae534915040bcb60afaa295f).

Meine Vermutung: Das, was bei der ersten Welle noch nachgeladen wurde, bringt dieser Schädling gleich selbst mit.

Gruß :daumenhoc
Yopie

Hallo Zusammen,

ja ich habe die exe geöffnet, habe ja zwei Virenscanner, (lol) und die haben
dann natürlich auch versagt.

Sofort Strom weg, vom Netzwerk getrennt, rebootet und mal schauen was passiert ist.

Spybot fand besagten Trojaner und mit Hijack konnte ich eine accessz.exe im
system32 Verzeichnis finden und löschen.

Gestartet wurde sie unter HKLM/Mircrosoft/currentversion/run/winupdate
Das hat sogar Microssoft Defender protokoliert und zugelassen.
Zeitstempel 07.01.07 / 10:06...naja nur der frühe Vogel fängt den Wurm !

Außerdem scheint der Trojaner die Remoteunterstützung im Windowsfirewall aktiviert zu haben.

Tools wie F-secure blacklight und RotkitRevealer finden derzeit nichts mehr.

@[Gc]Sunny..das der Trojan nicht gelöscht werden kann, das steht nicht in dem Artikel, das hast Du hinzugefügt :daumenhoc

Gruß

James T. Kirk

Ach ja, ich poste mit meinem Zweitrechner, der infiltrierte ist noch nicht wieder am Netz.

Schonmal totaler Schwachfug! :sleepy:
Wieso 2 Virenscanner, wieso überhaupt Virenscanner?

Was soll das bringen? :confused:

Weißt du auch was du da gelöscht hast? :confused:

Oh, noch mehr Sicherheitssoftware! Sicherheit ist ja auch heut zu tage wichtig! ;)

Es geht bei der "Geschichte" um einen Trojaner mit Backdoorfunktionalität und nicht um ein Rootkit!

Ist logisch, oder? :balla:
Gruß

Ich verstehe 1&1 nicht.:headbang:
Sonst kommt bei jedem Sche** eine Mail, aber bis jetzt keinerlei Warnung.
Auf der Website finde ich nichts, in den Kundenmitteilungen Fehlanzeige.
Nicht jeder liest Heise.

@Sunny
Strom aus war der schnellste Weg den Rechner vom Netz zu bekommen.

Wie Du schon sagtest, backdoor um irgendetwas zu öffnen und wohlmöglich irgendetwas anzustellen oder nachzuladen...nur so zum Spaß macht er ja nicht die Hintertür auf

Was ich gelöscht habe...keine Ahnung aber da ich meine Start-Dateien kenne, weiß ich, daß die accessz.exe bisher nicht dazu gehörte.

Und wem hier access gewährt wurde, ist mir natürlich nicht klar. :o

Gruß

Das stimmt so nicht ganz -> =MX.EUE.DE&origin[page]=index&ucuoId=MX.EUE.DE-20070108193423-ac1704c2c4lBzMiSspOVkWWBww8UiN9e-S1]in den Themen ist davon die Rede!

Trotzdem! Eine Mail an alle Kunden hätte schon letzte Woche kommen müssen, da begann es nämlich mit dem SPAM! :teufel1:

Hm, die Meldung steht aber noch nicht lange oder ich hab Tomaten auf den Augen.:heulen:

Vollkommen richtig, ich hatte die eMail auch schon vor einigen Tagen bekommen und sie in die Tonne geschickt...:snyper:
cacatoa

Das ist doch ein schlechter Scherz. Da gehört auf die Startseite sowie auf die Seite für den Kundenlogin ein unübersehbarer! Hinweis.

Das Problem (neben der Malware) ist doch dass 1-1 IMMER selber spammt, also fällt die Warnmeldung doch gar nicht auf. Der Spam begann spätestens mit Vertragsabschluß bei 1-1 :mad:

Wobei ich mich frage, warum habe ich nichts davon gesehen? *grübel*
:rolleyes:
@ MM: Richtig, aber Kundenfang (Dummenfang) in eigener Sache ist wohl wichtiger, ebenso (Schleich-)Werbung, da gibt es nämlich auch Geld.
Aber man versteckt es lieber => 1&1 Internet AG - Sicherheitshinweis

@ cad: angeblich(!) geht dieser Müll ja an beliebige Adressen, nicht nur an Kunden. 1-1 kann ja schlecht jeden möglichen Adressaten (also jeden weltweit) anschreiben.

Weiter gehts mit 1&1-Trojanern:

md5sum f3f9be795aa5f256b06d67116e119ea3
File size: 15360 bytes

Virustotal:
AntiVir 7.3.0.21 01.09.2007 HEUR/Crypted
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.08.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.08.2007 no virus found
ClamAV devel-20060426 01.09.2007 Trojan.Downloader-535
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.08.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 suspicious
F-Prot 3.16f 01.08.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 Win32.Outbreak
Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4934 01.08.2007 no virus found
Microsoft 1.1904 01.09.2007 TrojanDownloader:Win32/Clagger.gen!B
NOD32v2 1965 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.08.2007 no virus found
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.08.2007 no virus found

Die Mail kam aus der Türkei.

Gruß :daumenhoc
Yopie

Du hast mein Posting falsch verstanden.
Ich bin 1&1 Kunde und hätte zumindest einen Warnhinweis erwartet.

Richtig, es gibt soviele Seiten im Netz wo ständig diese 1&1 Pop-Ups auftauchen. das ist schon sehr beachtlich!
(1&1 scheint für das Hosting gut zu zahlen ... vielleicht bauen wir solch eine Schleichwerbung mal hier in diesen Beitrag ein :), so oft wie der die nächsten Tage aufgerufen wird?! :dummguck: )


Spricht da etwa ein Kunde? :D

Warum kann das 1&1 nicht, die Cracker welche die Mail erstellt haben, konnten es durch ihr "Verteilungssystem" doch auch. ;)


Gruß
Sunny

Post von 1&1 (wirklich!),

Soweit, so gut, aber jetzt wirds lustig:
Häh? :confused: :headbang:

Mit den aktuellen, die den Virus nicht erkennen? Mal abgesehen von der Tatsache, dass bei Backdoorbefall das ja sowieso sinnfrei ist...

Zu spät, und mit einigem Unsinn gefüllt.

Gruß :daumenhoc
Yopie

Ich finde, man sollte ihn für allgemeine Infos zum Thema offenlassen. Vielleicht gibts ja noch Neuigkeiten.

Mal sehen, was die Mods entscheiden.

Gruß :daumenhoc
Yopie

jepp, nur noch dafür bleibt er hier geöffnet
bitte hier keine anderen diskussionen mehr, sonst wird es, wie schon angesprochen mehr als unübersichtlich :daumenhoc

so wie befohlen, sire ;)

GUA

Hi Leute ich habe die 1&1 mail auch bekommen, jedoch weiß ich jetzt nicht mehr ob ich den beiligenden Anhang im PDF format geöffnet habe oder nicht ich poste mal ein Logfile vielleicht könnt ihr mir sagen ob euch da was auffällt:

[edit]
user terayaki temporär aus dem verkehr gezogen :headbang:

GUA
[/edit]

Ein Kumpel hat diese Datei auch geöffnet ...
Nun hat er den Rechner vorerst vom Netz genommen.
Der Rechner hat 2 Partitionen C und D. C für das System, D für Daten.
Die Systempartition hat er nun formatiert und das Betriebsystem neu installiert.

Ist es möglich, dass Daten auf der D partition in Mitleidenschaft gezogen oder angegriffen wurden oder greift diese Datei nur auf Systemdateien zu ???

Vielen Dank Gruß Mav

Hallo,

welche Dateien genau infiziert werden, ist schwierig zu sagen, da der Trojaner im Dateianhang, nachdem er ausgeführt wurde, weiteren Schadcode nachläd und somit immer neue Varianten eines Trojaners und/oder Virus auf das System gelangen können. Trojaner haben normalerweise nicht die angewohntheit, möglichst viele Dateien auf den Partitionen zu infizieren.

teltarif.de berichtet, das es eine Zweite Welle von gefälschten 1&1-Rechnungen gegeben hat. Wird auch hier der gleiche Trojaner mitgeschickt, oder ist dieser ein anderer ?

Mit freundlichen Grüßen
David

Neue Welle gefälschter 1&1- und GEZ-Rechnungen unterwegs

1&1

Ist es nicht eigentlich ganz einfach das Problem wieder los zu werden, wenn die betroffenen z.B. mit Norton Ghost oder ähnlichen Programmen, die Systempartition zu einem früherern Zeitpunkt vor Infizierung wieder herstellen.
Was meinen die Spezialisten dazu?
Gruß Zeiss

Klar, das ist der einfachste Weg. Nur leider hat gerade die Klientel, die auf solche Mails reinfällt, in der Regel eben kein solches Imageprogramm, dafür aber 2 Virenscanner, 3 Personal Firewalls und 4 Spywarescanner.

Gruß :daumenhoc
Yopie

Mal eine Frage zu diesem Trojanern:

Bei einem der letzten Massensendungen (1&1, T-Com?) war ein Trojaner in einer Zip-Datei mit Passwort versteckt, wo dann das Passwort im Emailtext stand. Existiert eine Möglichkeit Passwortgeschützte Anhänge zu scannen?

Gruß,

Jörg

Grundsätzlich ist ein Virenscanner nicht in der Lage, ein passwortgeschütztes Archiv zu durchsuchen. Einige Programmen bieten jedoch die Möglichkeit, wenn eine ZIP, RAR, etc. mit Kennwort gesichert ist, die Passworteingabe einzufordern. Anschließend scannen sie auch diese durch. Aber ohne Passwort geht nix.