Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Viren- Test

jueki / 12 Antworten / Baumansicht Nickles

Ich habe aus reiner Interesse mal eine als SPAM markierte Mail auf meinem Test- PC abgerufen und geöffnet.
Es ist die Euch sicher bekannte Mail mit dem Inhalt

"Die Anzahlung Nr.327521699894 ist erfolgt
Es wurden 4846.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung"

- und einem Dateianhang "Abrechnung.zip"
Die Kontrolle dieses Anhanges mit AntiVir ergab diese Meldung:


Ich habe die Rar trotzdem auf meinem Test- PC (bei getrennter Internet- Verbindung) entpackt.

Das entstand:



Der Inhalt des Ordners scann:


- und die Eigenschaften der "abrechnung.Ink":


Mich interessiert nun - diese Zusätze zu der cmd.exe wurden ja von diesem Virus geschrieben.
Was bewirken diese?
Wenn ich die Eigenschaften der cmd.exe im system32 direkt aufrufe, fehlen die.

Bevor es da Mißverständnisse gibt: Ich habe das absichtlich gemacht.
Und ich mache das auf meinem Test- PC, dessen Betriebssystem ich nach einem solchen Versuch grundsätzlich formatiere
- und durch ein Sauberes ersetze.

Jürgen




- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
TAsitO jueki „Viren- Test“
Optionen

Hallo.
Ich denke; so wie das ersichtlich ist; wird über dein Eingabeaufforderung die programmierte Datei scann.a ausgeführt.
Gruss.

http://www.talk-about.org/leben-ist-mehr/default.asp
bei Antwort benachrichtigen
jueki TAsitO „Hallo. Ich denke so wie das ersichtlich ist wird über dein Eingabeaufforderung...“
Optionen

- und was gescannt wird und was mit dem Scannergebnis gemacht wird, steht in der "scann.a"?

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
fgh443 jueki „- und was gescannt wird und was mit dem Scannergebnis gemacht wird, steht in der...“
Optionen

Wenn ich (mit meinem bescheidenen Wissen) das richtig erkenne bedeutet das, wenn man auf das Icon "Abrechnung" doppelklickt wird die Datei scann.a ausgeführt.

Das Icon "Abrechnung" deshalb, weil der Virenautor in der Email geschrieben hat "Ihre Rechnungsdaten stehen in der Datei -Abrechnung-", also doppelklickt der Ahnungslose auf das Icon -Abrechnung- und führt damit die viröse Datei aus => das Ziel des Infizierenden ist erreicht.

Die Datei heisst nur "scann.a", was diese Datei macht kann dir nur der Autor (oder jemand der sich mit Maschinencode auskennt) sagen. Ob der was scannt, löscht, verändert, ausspioniert... wer weiß? Ich denke aber, wenn die Datei scann.a heisst, und jemand sieht einen Prozess Namens "scann" im Task Manager soll das wohl verhindern, das der User stutzig wird.

(man könnte ja auch den Dos-Befehl "Format" in z.B. Plumps umbenennen, dann würde es heißen: >plumps c:\ -q hihihi)

Mist, schon wieder was gelernt...
bei Antwort benachrichtigen
PeterP1 fgh443 „Wenn ich mit meinem bescheidenen Wissen das richtig erkenne bedeutet das, wenn...“
Optionen

Hallo,
guck mal hier:

http://www.heise.de/newsticker/Schaedlings-Mails-tarnen-sich-als-Inkasso-Rechnung--/meldung/119359

Gemäß obigem Link telefoniert die Datei nach China und lädt Schadcode nach.
Immerhin findet dein Scanner den Schädling jetzt; gestern gemäß Heise-Meldung noch nicht.
Gruß
Peter


bei Antwort benachrichtigen
jueki PeterP1 „Hallo, guck mal hier:...“
Optionen

Der Link (bzw dessen Inhalt) erklärt eigentlich alles - Danke!
"Immerhin findet dein Scanner den Schädling jetzt; gestern gemäß Heise-Meldung noch nicht"
Es handelt sich hier um die Bezahl- Version von "AVIRA AntiVir Workstation", die ich automatisch aller 4 Stunden updaten lasse.
Der Schädling wurde da schon gestern am späten Nachmittag erkannt.

Jürgen

PS: hijackthis übrigens hat nichts zu beanstanden!

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Max Payne fgh443 „Wenn ich mit meinem bescheidenen Wissen das richtig erkenne bedeutet das, wenn...“
Optionen

Woher wollt ihr wissen, dass der Dateiname auf dem Screenshot vollständig ist? Jedenfalls wird mit diesem Befehl eine Datei im Ordner scann in der "Eingabeaufforderung" cmd gestartet.

Daher wäre der Inhalt des Ordners scann noch interessant...

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
jueki Max Payne „Woher wollt ihr wissen, dass der Dateiname auf dem Screenshot vollständig ist?...“
Optionen
Woher wollt ihr wissen, dass der Dateiname auf dem Screenshot vollständig ist?
Diese Datei wurde im Totalcommander v7 dargestellt.
Dort kann man einstellen, das alles angezeigt wird - also auch versteckte Dateinamen.
Was ich sowieso schon vor der Installation mit "nLite" grundsätzlich mache.
"Alle Dateiendungen anzeigen" ist dort eine der vielen Möglichkeiten, eine Installation zu beeinflussen.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Max Payne jueki „ Diese Datei wurde im Totalcommander v7 dargestellt. Dort kann man einstellen,...“
Optionen

Darum geht's ja gar nicht. Nur ist in Deinem Screenshot bei "Ziel" die ganze Zeile gefüllt. Es endet mit der Pfadangabe "scann/scann.a"

Allerdings könnte das Ding ja auch scann.abrechnung.exe oder irgenwie anders heißen. Da wir nicht in den Ordner scann blicken können, bleibt uns das bislang verborgen.

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
TAsitO Max Payne „Darum geht s ja gar nicht. Nur ist in Deinem Screenshot bei Ziel die ganze Zeile...“
Optionen

Wissen tun wir es nicht - aber vertrauen Jüki.
Dürfte aber vielleicht Pascal- oder Coboldatei sein.

http://www.talk-about.org/leben-ist-mehr/default.asp
bei Antwort benachrichtigen
Max Payne TAsitO „Wissen tun wir es nicht - aber vertrauen Jüki. Dürfte aber vielleicht Pascal-...“
Optionen

Hat jemand die 0 gewählt?

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
jueki TAsitO „Wissen tun wir es nicht - aber vertrauen Jüki. Dürfte aber vielleicht Pascal-...“
Optionen

Die bei "Ziel" sichtbare Pfadangabe entspricht der tatsächlich vorhandenen - samt den folgenden Attributen.
Nach "...scann.a kommt nichts weiter.
Der Inhalt des Ordners, der tatsächlich nur die Endung *.a hat, ist (mit dem Editor geöffnet) ein kryptisches, unlesbares Zeugens.
Übrigens - die Partition wurde inzwischen Formatiert.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Max Payne jueki „Die bei Ziel sichtbare Pfadangabe entspricht der tatsächlich vorhandenen - samt...“
Optionen

OK, danke für die Info. :-)

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen