Viren, Spyware, Datenschutz 11.242 Themen, 94.693 Beiträge

Verfolgung starten Optionen

Viren- Test

jueki / 12 Antworten / Flachansicht Nickles

Ich habe aus reiner Interesse mal eine als SPAM markierte Mail auf meinem Test- PC abgerufen und geöffnet.
Es ist die Euch sicher bekannte Mail mit dem Inhalt

"Die Anzahlung Nr.327521699894 ist erfolgt
Es wurden 4846.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung"

- und einem Dateianhang "Abrechnung.zip"
Die Kontrolle dieses Anhanges mit AntiVir ergab diese Meldung:


Ich habe die Rar trotzdem auf meinem Test- PC (bei getrennter Internet- Verbindung) entpackt.

Das entstand:



Der Inhalt des Ordners scann:


- und die Eigenschaften der "abrechnung.Ink":


Mich interessiert nun - diese Zusätze zu der cmd.exe wurden ja von diesem Virus geschrieben.
Was bewirken diese?
Wenn ich die Eigenschaften der cmd.exe im system32 direkt aufrufe, fehlen die.

Bevor es da Mißverständnisse gibt: Ich habe das absichtlich gemacht.
Und ich mache das auf meinem Test- PC, dessen Betriebssystem ich nach einem solchen Versuch grundsätzlich formatiere
- und durch ein Sauberes ersetze.

Jürgen




- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Hallo. Ich denke so wie das ersichtlich ist wird über dein ... TAsitO
- und was gescannt wird und was mit dem Scannergebnis gemacht wird, steht in ... jueki
fgh443 jueki „- und was gescannt wird und was mit dem Scannergebnis gemacht wird, steht in der...“
Optionen

Wenn ich (mit meinem bescheidenen Wissen) das richtig erkenne bedeutet das, wenn man auf das Icon "Abrechnung" doppelklickt wird die Datei scann.a ausgeführt.

Das Icon "Abrechnung" deshalb, weil der Virenautor in der Email geschrieben hat "Ihre Rechnungsdaten stehen in der Datei -Abrechnung-", also doppelklickt der Ahnungslose auf das Icon -Abrechnung- und führt damit die viröse Datei aus => das Ziel des Infizierenden ist erreicht.

Die Datei heisst nur "scann.a", was diese Datei macht kann dir nur der Autor (oder jemand der sich mit Maschinencode auskennt) sagen. Ob der was scannt, löscht, verändert, ausspioniert... wer weiß? Ich denke aber, wenn die Datei scann.a heisst, und jemand sieht einen Prozess Namens "scann" im Task Manager soll das wohl verhindern, das der User stutzig wird.

(man könnte ja auch den Dos-Befehl "Format" in z.B. Plumps umbenennen, dann würde es heißen: >plumps c:\ -q hihihi)

Mist, schon wieder was gelernt...
bei Antwort benachrichtigen
Hallo, guck mal hier: ... PeterP1
Der Link bzw dessen Inhalt erklärt eigentlich alles - Danke! Immerhin ... jueki
Woher wollt ihr wissen, dass der Dateiname auf dem Screenshot vollständig ... Max Payne
Woher wollt ihr wissen, dass der Dateiname auf dem Screenshot vollständig ... jueki
Darum geht s ja gar nicht. Nur ist in Deinem Screenshot bei Ziel die ganze ... Max Payne
Wissen tun wir es nicht - aber vertrauen Jüki. Dürfte aber vielleicht ... TAsitO
Hat jemand die 0 gewählt? Max Payne
Die bei Ziel sichtbare Pfadangabe entspricht der tatsächlich vorhandenen - ... jueki
OK, danke für die Info. :- Max Payne