Anmelden | registrieren | Kategorien



 
zurück zur Übersicht neuer Eintrag
Ansicht:   
Infopost Aktuelles: > [Wichtige Forumsinformationen] [NT-Karte] [NT-Fotos] [NT-Fotowettbewerb]

#398245

vordprefect zur Homepage von vordprefect

wo karl ruht..,
26.05.2016, 12:55:16
(editiert von vordprefect, 26.05.2016, 12:56:21)

Erkennungsrate Virusscanner - Holzauge sei wachsam! (ed) (pc.security)

Hi,

ich hab gerade eine forsche Mail bekommen, mit einer unmißverständlichen der Aufforderung das noch nicht überwiesene Geld zu zahlen bis gestern. zu überweisen. Mit einem zip-Dateianhang. Aus Interesse habe ich mir mal den Spaß gemacht das ganze zu analysieren - auf meinem Linux Laptop.

Die E-mail wurde vom Web.de Spamfilter nicht erkannt. In dem Zip enthalten ist eine Datei namens *.com..

Das zip habe ich aus Interesse mal bei virustotal.com hochgeladen.
Das finde ich durchaus interessant. 6 von 56 Scannern haben den Virus erkannt.

Lt. Eset ist der Virus z.B. seit Oktober 2015 bekannt, Varianten schon länger
Avira und Kaspersky, Gdata haben diesen Virus ebenfalls erkannt. Leider konnte ich die Virensignatur bei AVira nicht in deren Datenbank finden.

So renommierte Scanner wie McAfee, F-Secure, Panda, Microsoft Essentials, Sophos, Trendmicro nicht,
Das macht mich schon etwas stutzig. Einige Virenscanner bei virustotal haben 2 Tage alte Pattern (wann gibt es da ein Update?)

Zur E-mail:
Absender ist eine rechnungsstelle von ebay.
Die E-mail enthält alle meine Adreßdaten inkl. Handynummer. Das ist aber kein Hexenwerk, da ich eine eigene Domain habe, sind diese Informationen für jeden öffentlich zugänglich und weitere Angaben herauszufinden, dürfte wohl kein Problem sein.

Natürlich ist der Header nicht von ebay, sondern die Mail kommt von einer russischen Domain *.ru und wurde über hosteurope geroutet, die bekommen von mir auch noch gleich ne E-mail (abuse@..)..

Also, wieder mal: Holzauge sei wachsam.. :)

--
lg,
volker

so long and thank you for the fish >~°>

me@PPG

#398265

Hey_Joe zur Homepage von Hey_Joe

71229 Leonberg,
26.05.2016, 16:43:33

@ vordprefect

Erkennungsrate Virusscanner - Holzauge sei wachsam!

> Hi,
>
> ich hab gerade eine forsche Mail bekommen, mit einer unmißverständlichen
> der Aufforderung das noch nicht überwiesene Geld zu zahlen bis
> gestern. zu überweisen. Mit einem zip-Dateianhang. Aus Interesse habe
> ich mir mal den Spaß gemacht das ganze zu analysieren - auf meinem Linux
> Laptop.
>
> Die E-mail wurde vom Web.de Spamfilter nicht erkannt. In dem Zip enthalten
> ist eine Datei namens *.com..
>
> Das zip habe ich aus Interesse mal bei virustotal.com hochgeladen.
> Das finde ich durchaus interessant. 6 von 56 Scannern haben den
> Virus erkannt.
>
> Lt. Eset ist der Virus z.B. seit Oktober 2015 bekannt, Varianten schon
> länger
> Avira und Kaspersky, Gdata haben diesen Virus ebenfalls erkannt. Leider
> konnte ich die Virensignatur bei AVira nicht in deren Datenbank finden.
>
> So renommierte Scanner wie McAfee, F-Secure, Panda, Microsoft Essentials,
> Sophos, Trendmicro nicht,
> Das macht mich schon etwas stutzig. Einige Virenscanner bei virustotal
> haben 2 Tage alte Pattern (wann gibt es da ein Update?)
>
> Zur E-mail:
> Absender ist eine rechnungsstelle von ebay.
> Die E-mail enthält alle meine Adreßdaten inkl. Handynummer. Das ist aber
> kein Hexenwerk, da ich eine eigene Domain habe, sind diese Informationen
> für jeden öffentlich zugänglich und weitere Angaben herauszufinden, dürfte
> wohl kein Problem sein.
>
> Natürlich ist der Header nicht von ebay, sondern die Mail kommt von einer
> russischen Domain *.ru und wurde über hosteurope geroutet, die bekommen von
> mir auch noch gleich ne E-mail (abuse@..)..
>
> Also, wieder mal: Holzauge sei wachsam.. :)

Hallo Volker,

Danke für Deinen Forschungsbericht, eine sehr gute Vorgehensweise.
Hoffentlich lesen sich das einige Virenschützer  :-p auch mal durch!

Schönes Wochenende,

Gruß,
Jochen

--
[image]

#398268

Hackertomm

26.05.2016, 17:20:15

@ vordprefect

Erkennungsrate Virusscanner - Holzauge sei wachsam!

> Natürlich ist der Header nicht von ebay, sondern die Mail kommt von einer russischen Domain *.ru und wurde über hosteurope geroutet, die bekommen von mir auch > noch gleich ne E-mail (abuse@..)..

> Also, wieder mal: Holzauge sei wachsam.. :)

Genau!

Bei obiger Prämisse, also Domain nicht zur Website passend, handle ich ebenso!
Mails mit Anhang mache ich sowie nie auf, ohne den Anhang separat zu prüfen.

--
[image]

#398269

bender

Strasshof an der Nordbahn,
26.05.2016, 17:21:03

@ vordprefect

Erkennungsrate Virusscanner - Holzauge sei wachsam!

Hm, eine *.com-Datei in einem ZIP-Archiv, angeblich von ebay. Irgendwie brauch ich keinen Virenscanner, um das nicht zu doppelklicken. Ich mein, ja, jeden Tag steht irgendwo ein Dummer auf, der das öffnet. Aber so langsam sollte man doch eigentlich soweit sensibilisiert sein, daß da sämtliche Alarmglocken anspringen.
Irgendwie glaub ich, daß die Hersteller der Rundum-Sorglos-Internet-Security-Dinger nicht ganz unschuldig daran sind, daß viele Leute glauben, daß wenn sie ihren Kram installieren sie vor allem gefeit sind und man getrost das Hirn ausschalten kann. Aber klar, man will sein Geraffel ja verkaufen...

--
Grüße aus Strasshof an der Nordbahn (ja, da wo die Kampusch im Keller lebte)
bender

sudo apt-get install brain_2.0

#398297

vordprefect zur Homepage von vordprefect

wo karl ruht..,
26.05.2016, 23:20:30

@ bender

Erkennungsrate Virusscanner - Holzauge sei wachsam!

Hi

> Hm, eine *.com-Datei in einem ZIP-Archiv, angeblich von ebay. Irgendwie
> brauch ich keinen Virenscanner, um das nicht zu doppelklicken.

Die *,com datei war in einem zip gepackt also nicht so offensichtlich.
Wer mir eine Rechnung als *.zip schickt, wird eh schon mal schief angesehen,
außerdem hatte ich sowieso keine Rechnung von ebay oder sonstwem offen,,


> Ich mein,
> ja, jeden Tag steht irgendwo ein Dummer auf, der das öffnet. Aber so
> langsam sollte man doch eigentlich soweit sensibilisiert sein, daß da
> sämtliche Alarmglocken anspringen.

Das ist u. a. mein tägliches Brot, mir mußt Du das nicht sagen, aber ich
wollte nur mal einen kurzen Erfahrungsbericht abgeben.

> Irgendwie glaub ich, daß die Hersteller der
> Rundum-Sorglos-Internet-Security-Dinger nicht ganz unschuldig daran sind,
> daß viele Leute glauben, daß wenn sie ihren Kram installieren sie vor allem
> gefeit sind und man getrost das Hirn ausschalten kann. Aber klar, man will
> sein Geraffel ja verkaufen...

Es geht nicht nur um Privatanwender ;). Wir haben ständig Anfragen von unseren Kunden,
warum jener Virenscanner das vermeintliche böse Attachment nicht gefunden hat.

Es gibt genügend andere Mechanismen, Systeme abzusichern oder zu schützen, das versuchen wir
unseren Kunden auch zu vermitteln, aber manche verlassen sich trotzdem darauf und das sind durchaus nicht immer kleine Unternehmen.

--
lg,
volker

so long and thank you for the fish >~°>

me@PPG

#398309

bender

Strasshof an der Nordbahn,
27.05.2016, 11:19:49

@ vordprefect

Erkennungsrate Virusscanner - Holzauge sei wachsam!

> Hi
>
> > Hm, eine *.com-Datei in einem ZIP-Archiv, angeblich von ebay. Irgendwie
> > brauch ich keinen Virenscanner, um das nicht zu doppelklicken.
>
> Die *,com datei war in einem zip gepackt also nicht so offensichtlich.

Nicht so offensichtlich? Naja, um eine ZIP-Datei zu öffnen, muß man ja schon länger nicht mal mehr ein entsprechendes Programm installiert haben, das geht mit Bordmitteln.

> Wer mir eine Rechnung als *.zip schickt, wird eh schon mal schief
> angesehen,

Jo eh.

> außerdem hatte ich sowieso keine Rechnung von ebay oder sonstwem offen,,

Najaaaa, es könnte ja sein, daß die irgendwas falsch gebucht haben, also schau mer mal...

>
>
> > Ich mein,
> > ja, jeden Tag steht irgendwo ein Dummer auf, der das öffnet. Aber so
> > langsam sollte man doch eigentlich soweit sensibilisiert sein, daß da
> > sämtliche Alarmglocken anspringen.
>
> Das ist u. a. mein tägliches Brot, mir mußt Du das nicht sagen, aber ich
> wollte nur mal einen kurzen Erfahrungsbericht abgeben.

Willkommen im Club.

>
> > Irgendwie glaub ich, daß die Hersteller der
> > Rundum-Sorglos-Internet-Security-Dinger nicht ganz unschuldig daran
> sind,
> > daß viele Leute glauben, daß wenn sie ihren Kram installieren sie vor
> allem
> > gefeit sind und man getrost das Hirn ausschalten kann. Aber klar, man
> will
> > sein Geraffel ja verkaufen...
>
> Es geht nicht nur um Privatanwender ;). Wir haben ständig Anfragen von
> unseren Kunden,
> warum jener Virenscanner das vermeintliche böse Attachment nicht gefunden
> hat.

Ja, dann wars halt nicht Kaspersky oder Sophos oder whatever, sondern die unfähige Firmen-IT. Durfte erst vor ein paar Tagen einen Rechner neu aufsetzen, den der liebe Kollege mit so einem Cryptolocker verseucht hat. Und natürlich kam die Frage, warum das Ding nicht erkannt wurde. Die ehrliche Antwort hab ich mir verkniffen.

>
> Es gibt genügend andere Mechanismen, Systeme abzusichern oder zu schützen,
> das versuchen wir
> unseren Kunden auch zu vermitteln, aber manche verlassen sich trotzdem
> darauf und das sind durchaus nicht immer kleine Unternehmen.

Wir schreiben auch regelmäßig Mails an unsere User, sie mögen doch bitte nicht alles öffnen, was nicht bei drei auf den Bäumen ist. Manchmal hilfts und sie fragen zumindest vorher bei uns nach, ob das Attachment eventuell böse sein könnte.

--
Grüße aus Strasshof an der Nordbahn (ja, da wo die Kampusch im Keller lebte)
bender

sudo apt-get install brain_2.0

zurück zur Übersicht neuer Eintrag
Ansicht:   

weitere Informationen
Netz-Treff | Kontakt | Impressum | Nutzungsbedingungen | Datenschutz
28839 Beiträge in 2233 Threads (Archiv: 517169 Beiträge in 44017 Threads), 1189 registrierte Benutzer, 30 User online (3 User, 27 Gäste)
based on a 2004 version of my little forum  RSS-Feed  ^