CC-COMMUNITY BOARD
Im CC-CB geht es um den Austausch von Infos über nützliche Software und deren individuelle Anpassung. Hardwarethemen werden ebenso besprochen wie Anfänger- oder Profithemen rund um den PC. Das CC-CB lebt von gegenseitiger Hilfe und dem "Sharing" von Informationen. Lies und BEACHTE dabei die besonderen REGELN für jedes Forum!
Sammelthread Gefälschte Emails, Trojaner und andere Virenmeldungen
- Ersteller Timok
- Erstellt am
Last Boyscout
Blindenstockträger
Endlich mal jemand der ein bischen die Wahrheit sagt:
http://www.mobilegeeks.de/artikel/android-malware-adware-avast/
http://www.mobilegeeks.de/artikel/android-malware-adware-avast/
Rainer Zufall
Bekanntes Mitglied
Adobe FLashplayer - auch in der Version 16.0.0.296 - gefährlich? Stimmt das?
Spiegel vom 23.01.
Gruss
Rainer
Spiegel vom 23.01.
Gruss
Rainer
Zapata
Bekanntes Mitglied
Neue Schwachstelle im Internet Explorer 11
Durch eine neue Schwachstelle im Internet Explorers 11, ist die Umgehung der Same Origin Policy (SOP) möglich. Bei gleichzeitig mehreren geöffneten Tabs, können von einer kompromitierten Seite vertrauliche Daten von einem Tab oder Browser-Session abgegriffen werden.
Quelle: http://seclists.org/fulldisclosure/2015/Feb/0
Zapata
Durch eine neue Schwachstelle im Internet Explorers 11, ist die Umgehung der Same Origin Policy (SOP) möglich. Bei gleichzeitig mehreren geöffneten Tabs, können von einer kompromitierten Seite vertrauliche Daten von einem Tab oder Browser-Session abgegriffen werden.
Quelle: http://seclists.org/fulldisclosure/2015/Feb/0
Zapata
eumel_1
Der Reisende
Mal wieder ein Versuch, die Dummen zu ködern:
http://meine.deutsche-bank.de.trxm.trxm.de.db.de.fullizleme.com/de/de/index2.php
Absender ist natürlich die Deutsche Bank:
Wenn man wirklich auf den Link klickt, wird man über die hinterlegte URL in der Türkei weitergeleitet auf die andere türkische Seite
http://meine.deutsche-bank.de.trxm.trxm.de.db.de.fullizleme.com/de/de/index2.php
Absender ist natürlich die Deutsche Bank:
ob das die Mädels von dem Frauenfussballclub auch wissen?
Zuletzt bearbeitet:
WereWOLF GANG
Bekanntes Mitglied
Telefon-Banking? LOL!
JoPa
Allround-Nichtsnutz
Das gibt's echt (noch)!
Nostradamus
Zensur besteht aus Frechheit und Angst. Tucholsky
Ja sicher, wie willst sonst beispielsweise eine Buchung rückfordern oder eine beauftragte aber noch nicht getätigte Überweisung stornieren.
Willst extra zu Bank rennen?
Und was, wenn die dann schon geschlossen hat, dann wird's auf alle Fälle am nächsten Tag mit der Stornierung nichts mehr, weil bis dahin bereits überwiesen ist und mit der Rückbuchung ja vielleicht auch nicht mehr, weil dann die Frist genau um einen Tag überschritten ist.
Willst extra zu Bank rennen?
Und was, wenn die dann schon geschlossen hat, dann wird's auf alle Fälle am nächsten Tag mit der Stornierung nichts mehr, weil bis dahin bereits überwiesen ist und mit der Rückbuchung ja vielleicht auch nicht mehr, weil dann die Frist genau um einen Tag überschritten ist.
Bestatter
Schwarzfahrer
Das geht doch alles direkt online oder über das Kontaktformular + TAN.
Zumindest bei der Netbank ist das so.
Nostradamus
Zensur besteht aus Frechheit und Angst. Tucholsky
Ups, ja hast Recht ist bei mir auch, eben mal geschaut. Allerdings unter einem Menüpunkt unter dem ich es nie erwartet hätte. Unter Service.
Für solche eine wichtige Sache erwarte ich eigentlich einen eigenen Menüpunkt direkt im Hauptmenü.
Aber für Stornierung ist nach wie vor nichts, da würde dann vielleicht noch "Sonstige--> Mitteilung an die Bank--> Auftrag" gehen, aber nur vielleicht.
Für eine Stornierung erwarte ich eigentlich einen Button "Überweisungsauftrag stornieren" oder ähnlich, neben der noch nicht ausgeführten Überweisung.
Für solche eine wichtige Sache erwarte ich eigentlich einen eigenen Menüpunkt direkt im Hauptmenü.
Aber für Stornierung ist nach wie vor nichts, da würde dann vielleicht noch "Sonstige--> Mitteilung an die Bank--> Auftrag" gehen, aber nur vielleicht.
Für eine Stornierung erwarte ich eigentlich einen Button "Überweisungsauftrag stornieren" oder ähnlich, neben der noch nicht ausgeführten Überweisung.
WereWOLF GANG
Bekanntes Mitglied
Netbank ist ok, da kann man alles online erledigen, bis auf folgenden Geschäftsfall:
einen erhaltenen Scheck einlösen
einen erhaltenen Scheck einlösen
Bestatter
Schwarzfahrer
Den braucht selbst die Netbank haptisch, in die Webcam halten und dann zerreißen ist nicht.
Formular zur Einsendung ist aber wiederum online.
eumel_1
Der Reisende
Jetzt gibt es schon stellvertretende Rechtsanwälte (die sogar meinen Vor und Nachnamen richtig schreiben können:
PS: muss ich noch erwähnen, dass in der angehängten ZIP-Datei sich eine Zip und darin eine COM-Datei verbirgt? Virustotal.com sagt mir:
Erkennungsrate: 13 / 57
Man beachte auch die unterschiedlichen Namen als Absender und unter der Mail!
PS: muss ich noch erwähnen, dass in der angehängten ZIP-Datei sich eine Zip und darin eine COM-Datei verbirgt? Virustotal.com sagt mir:
Erkennungsrate: 13 / 57
Zuletzt bearbeitet:
JoPa
Allround-Nichtsnutz
Sowas wird einfach gelöscht. Wenn sich der angedrohte Staatsanwalt oder die Schufa bei mir melden, dann kann man mal aktiv werden.
Und soweit ich weiß, interessiert es den Staatsanwalt erstmal gar nicht, ob meine Bank eine Lastschrift zurückbucht. Das normale Vorgehen in dem Fall wäre das gerichtliche Mahnverfahren.
Außerdem weiß ich, bei wem ich Schulden oder offene Rechnungen habe.
Und soweit ich weiß, interessiert es den Staatsanwalt erstmal gar nicht, ob meine Bank eine Lastschrift zurückbucht. Das normale Vorgehen in dem Fall wäre das gerichtliche Mahnverfahren.
Außerdem weiß ich, bei wem ich Schulden oder offene Rechnungen habe.
eumel_1
Der Reisende
Du weißt das, ich weiß das und noch einige hier an Board, aber Oma Schulze und Lieschen Müller bekommen bei sowas Panik, habe letztens erst den Laptop eines Nachbarn neu aufgesetzt, nachdem seine Frau (übrigens eine Bankmanagerin 
) auf den Anhang eine Spammail geklickt hatte, weil sie unbedingt sehen wollte, um welche Forderung es sich handelt.
PS: Dieser Thread hat vorrangig die Aufgabe, die DAUs zu warnen, nicht die geschulten User zu belehren, diese wisen selber, was zu tun ist (Löschen!).
Auch weiß der geschulte User, dass Post vom Anwalt mit der gelben Schneckenpost kommt und der Gerichtsvollzieher persönlich.
) auf den Anhang eine Spammail geklickt hatte, weil sie unbedingt sehen wollte, um welche Forderung es sich handelt.PS: Dieser Thread hat vorrangig die Aufgabe, die DAUs zu warnen, nicht die geschulten User zu belehren, diese wisen selber, was zu tun ist (Löschen!).
Auch weiß der geschulte User, dass Post vom Anwalt mit der gelben Schneckenpost kommt und der Gerichtsvollzieher persönlich.
JoPa
Allround-Nichtsnutz
Da hast du wieder mal recht, aber meinst du Oma Schulze und Lieschen Müller lesen hier mit?
Hier treibt sich hauptsächlich Fachpersonal rum, nicht die Oma von nebenan.
Ich hab die ganz alten Säcke in der Familie schon erzogen, sie sollen im Zweifel erst bei mir nachfragen, bevor sie auf was klicken, wenn jemand Geld will oder sie Passwörter ändern oder ihre Kreditkartendaten verifizieren sollen...
Hier treibt sich hauptsächlich Fachpersonal rum, nicht die Oma von nebenan.
Ich hab die ganz alten Säcke in der Familie schon erzogen, sie sollen im Zweifel erst bei mir nachfragen, bevor sie auf was klicken, wenn jemand Geld will oder sie Passwörter ändern oder ihre Kreditkartendaten verifizieren sollen...
eumel_1
Der Reisende
Ganz vergessen zu erwähnen, der Mailheader zeigt auch an, dass die Mail nicht von einem T-Online-Konto gesendet wurde. Hier nochmal die Anleitung, wie man sich den Emailheader anzeigen lässt (habe ich einfach aus der Abuse-Mail kopiert):
"abuse (at) Mailprovider aus der Received-Zeile"
Das hilft, solchen Spam einzudämmen, indem das Konto dessen von dem die Mail stammt gesperrt wird.
Diese Informationen in die weitergeleitete Mail einfügen und die Originalmail weiterleiten an
"abuse (at) Mailprovider aus der Received-Zeile"
Das hilft, solchen Spam einzudämmen, indem das Konto dessen von dem die Mail stammt gesperrt wird.
Zapata
Bekanntes Mitglied
heise security berichtet, dass der Verschlüsselungstrojaner Chimera nun mit Veröffentlichung persönlicher Daten droht. Ok, der Drohmechanismus von Ransomware ist immer noch der gleiche, auch wenn das nun doch eine neue Ebene hat. Interessant fand ich aber den Beitrag was Chimera macht - Details aus der PC-Werkstatt in den Kommentaren:
Zapata
Re: was Chimera macht - Details aus der PC-Werkstatt
- ist eine (als Beispiel) Bewerbung.pdf.EXE und läuft folglich unter Windows
- Dateien werden nacheinander abgearbeitet, Ordner in alphabetischer Reihenfolge
- auf dem befallenen PC (eigene Dateien...) einschließlich Server mit gemappten Netzwerk-Laufwerken
- betroffen sind die "üblichen" Office-Dateien, Bilder, PDF; zu Audio & Video-Dateien kann ich nichts sagen, die sind seltener auf geschäftlich genutzten PCs
- verschlüsselte Dateien behalten den ursprünglichen Namen und bekommen eine weitere Endung nach dem Muster *.AB4Q angehängt; der ursprüngliche Zeitstempel wird durch das Verschlüsselungsdatum ersetzt
- in jedem Ordner befindet sich eine Text und/oder HTML-Datei mit der Lösegeldforderung
- da der lokale PC noch vor Vollendung seiner Verschlüsselungsarbeit auf dem Server entdeckt und vom Netz getrennt wurde, kann zur "Finalisierung" der Arbeit nichts gesagt werden
- Desinfec't hat einen Tag nach dem Befall (mit aktuellen Signaturen) nichts gefunden
- der ESET Online-Scan brachte dann 2 Dateien als Tageslicht, rund 630KB groß, die im Browser-Cache lagen
- die üblichen Methoden zum automatischen Starten (Autostart, Registry, Dienste, Aufgaben...) brachten keine Funde; der am lokalen PC angemeldete User hatte keine Admin-Rechte
- es handelt sich um ein mittelständische Unternehmen, wie von der Polizei Niedersachsen (Link im Artikel unten) richtig erkannt wurde
- Verbreitung über DropBox, die Datei war am Folgetag nicht mehr verfügbar
- beim Überfahren des DropBox-Links war die vollständige Datei-Endung zu sehen
Zapata
jr33
.......
Mal wieder:
Abzocke-Methode: Gefälschte Bluescreens & Telekom-Hotline
Kriminelle haben sich einmal mehr eine Methode ausgedacht,
um Telekom-Kunden um ihr Geld zu erleichtern.
Eine über infizierte Webseiten verbreitete Malware erzeugt einen gefälschten Bluescreen,
der Betroffene zum Anruf bei einer falschen Hotline drängt.
Wird vermutlich den ein oder anderen die (kommenden) Tage tangieren
oder beschäftigen.
Ich werde schon mal nen AB schalten
Man rät Betroffenen zu den üblichen Schritten wie einem Scan mit
Anit-Malware- und Virensoftware sowie dem Löschen der Browserdaten
und Ändern der Passwörter.
Mag das Snake-Oil noch so gut sein,
so empfiehlt sich vorbeugend ein Update der brain.echse.
Schnellcheck (Verband der Internetwirtschaft)
Eine der Quellen
Abzocke-Methode: Gefälschte Bluescreens & Telekom-Hotline
Kriminelle haben sich einmal mehr eine Methode ausgedacht,
um Telekom-Kunden um ihr Geld zu erleichtern.
Eine über infizierte Webseiten verbreitete Malware erzeugt einen gefälschten Bluescreen,
der Betroffene zum Anruf bei einer falschen Hotline drängt.
Wird vermutlich den ein oder anderen die (kommenden) Tage tangieren
oder beschäftigen.
Ich werde schon mal nen AB schalten
Man rät Betroffenen zu den üblichen Schritten wie einem Scan mit
Anit-Malware- und Virensoftware sowie dem Löschen der Browserdaten
und Ändern der Passwörter.
Mag das Snake-Oil noch so gut sein,
so empfiehlt sich vorbeugend ein Update der brain.echse.
Schnellcheck (Verband der Internetwirtschaft)
Eine der Quellen
Zapata
Bekanntes Mitglied
Achtung: Das Bundeszentralamtes für Steuern warnt vor aktuellen Phishing-Angriffen mittels angeblicher Steuerrückerstattung.
Quelle: http://www.bzst.de/DE/Home/home_node.html
Erfahrene Computernutzer misstrauen natürlich E-Mails, in denen man aufgefordert wird Dateianhänge zu öffnen. Jeder kennt aber sicher auch Nutzer/innen in seinem Umfeld, auf die dies nicht zutrifft.
Zapata
Quelle: http://www.bzst.de/DE/Home/home_node.html
Erfahrene Computernutzer misstrauen natürlich E-Mails, in denen man aufgefordert wird Dateianhänge zu öffnen. Jeder kennt aber sicher auch Nutzer/innen in seinem Umfeld, auf die dies nicht zutrifft.
Zapata
Übrigens, es scheint einen neuen Trick zu geben. Der Trick besteht darin: Eine mit Malware "ausgestattete" Homepage jubelt einem ein Javascript unter, welches die Proxy-Einstellungen des Systems/des Browsers ändert. Ein infizierter Rechner hatte folgende Proxy-Einstellungen:
https://zviuo72qb46yhs4k.onion.to/sosclhkup.js?ip=8.9.10.1 (IP geändert, es war aber einer der DHCP-IP's nach draussen)
Dadurch wird das Browsen immer langsamer. Ab und zu kommt ein Riesen-Bildschirm beim Browsen daher, welches einem zum Warten auffordert:
In der Zeit spioniert offenbar das Javascript einen aus.
https://zviuo72qb46yhs4k.onion.to/sosclhkup.js?ip=8.9.10.1 (IP geändert, es war aber einer der DHCP-IP's nach draussen)
Dadurch wird das Browsen immer langsamer. Ab und zu kommt ein Riesen-Bildschirm beim Browsen daher, welches einem zum Warten auffordert:
In der Zeit spioniert offenbar das Javascript einen aus.
jr33
.......
Erpressungs-Trojaner TeslaCrypt gibt auf: Master-Schlüssel veröffentlicht
TeslaDecoder (Download)
Zitat von der Quelle:
Dank des Master-Schlüssel sollen sich jetzt auch von TeslaCrypt 3
verschlüsselte Dateien mit den zusätzlichen Endungen
.xxx, .ttt, .micro, .mp3 entschlüsseln lassen.
Selbst die aktuelle Version TeslaCrypt 4.0, die auf
Namenserweiterungen verzichtet, sei nun keine Bedrohung mehr,
verkünden die Kryptologen.
TeslaDecoder (Download)
Zitat von der Quelle:
Dank des Master-Schlüssel sollen sich jetzt auch von TeslaCrypt 3
verschlüsselte Dateien mit den zusätzlichen Endungen
.xxx, .ttt, .micro, .mp3 entschlüsseln lassen.
Selbst die aktuelle Version TeslaCrypt 4.0, die auf
Namenserweiterungen verzichtet, sei nun keine Bedrohung mehr,
verkünden die Kryptologen.
Zuletzt bearbeitet:
Moin,
heute eingetrudelt:
Absender ist "Beauftragter Rechtsanwalt Bank-Pay AG <billing@paypal.de>"
Tschüss und Gruß
Schloss
heute eingetrudelt:
Als Anlage wurde eine ZIP-Datei beigefügt, welche meinen Vor- und Nachnamen beinhaltete: "XXX XXX beauftragter Rechtsanwalt Bank Pay AG.ZIP". Diese ZIP-Datei beinhaltet ein weiteres ZIP-Archiv mit exakt dem selben Dateinamen. Wird diese wiederum entpackt, so präsentiert sich stolz eine Datei mit der Bezeichnung "XXX XXX Mahnung Beauftragter Rechtsanwalt Bank-Pay AG.com".
Absender ist "Beauftragter Rechtsanwalt Bank-Pay AG <billing@paypal.de>"
Tschüss und Gruß
Schloss
Heute schwer aktiv:
Absender "Rolf Drescher"
https://www.heise.de/security/meldu...t-gezielt-Personalabteilungen-an-3562281.html
Absender "Rolf Drescher"
https://www.heise.de/security/meldu...t-gezielt-Personalabteilungen-an-3562281.html
JoPa
Allround-Nichtsnutz
Gestern kam hier eine DHL Sendungsbenachrichtigung rein:
Ihr DHL-Paket ist auf dem Weg!
Absender: sendung@dhl.de
Darin nur ein Bild, das wie eine DHL Benachrichtigung aussieht und mitteilen will, dass man Geld für den Postmann bereit halten soll. Beim Klick irgendwo auf das Bild wird ein ZIP runtergeladen. Was sich darin verbirgt kann jeder gerne selber testen, Quellcode der Mail im Spoiler. Ich habe nur meine Mailadresse und das http zum zip gexxxt.
Die Adresse wurde übrigens vor einigen Jahren nur für den Shop Vartis.de benutzt. Der hat dann wohl seine Datenbank nicht richtig geschützt.
Interessant, wie lange sich die Adresse im Netz hält.
Ihr DHL-Paket ist auf dem Weg!
Absender: sendung@dhl.de
Darin nur ein Bild, das wie eine DHL Benachrichtigung aussieht und mitteilen will, dass man Geld für den Postmann bereit halten soll. Beim Klick irgendwo auf das Bild wird ein ZIP runtergeladen. Was sich darin verbirgt kann jeder gerne selber testen, Quellcode der Mail im Spoiler. Ich habe nur meine Mailadresse und das http zum zip gexxxt.
Die Adresse wurde übrigens vor einigen Jahren nur für den Shop Vartis.de benutzt. Der hat dann wohl seine Datenbank nicht richtig geschützt.
Interessant, wie lange sich die Adresse im Netz hält.
X-Envelope-From: <sendung@dhl.de>
X-Envelope-To: <meineMail>
X-Delivery-Time: 1483529170
X-UID: 14616
Return-Path: <sendung@dhl.de>
X-RZG-CLASS-ID: mi07
Authentication-Results: strato.com 1;
spf=softfail
smtp.mailfrom="sendung@dhl.de";
dkim=none;
domainkeys=none;
dkim-adsp=none
header.from="sendung@dhl.de"
X-Strato-MessageType: email
Received-SPF: softfail
client-ip=82.165.170.243;
helo="s17048310.onlinehome-server.info";
envelope-from="sendung@dhl.de";
receiver=smtp.rzone.de;
identity=mailfrom;
Received: from s17048310.onlinehome-server.info (ns.b-teck.com [82.165.170.243])
by smtp.rzone.de (RZmta 39.11 OK)
with ESMTPS id A01477t04BQAzgI
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve secp384r1 with 384 ECDH bits, eq. 7680 bits RSA))
(Client did not present a certificate)
for <meineMail>;
Wed, 4 Jan 2017 12:26:10 +0100 (CET)
X-No-Relay: not in my network
Received: from localhost.localdomain (unknown [191.101.31.98])
by s17048310.onlinehome-server.info (Postfix) with ESMTPA id C21B2494250D
for <meineMail>; Wed, 4 Jan 2017 12:26:09 +0100 (CET)
Date: Wed, 4 Jan 2017 12:26:09 +0100
To: meineMail
From: DHL-Express <sendung@dhl.de>
Subject: Ihr DHL Paket ist auf dem weg!
Message-ID: <77dd7b710a12f899ff798d72a5bd87e2@localhost.localdomain>
X-Priority: 3
X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_77dd7b710a12f899ff798d72a5bd87e2"
Content-Transfer-Encoding: 8bit
--b1_77dd7b710a12f899ff798d72a5bd87e2
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
Sehr geehrte/r ..!
--b1_77dd7b710a12f899ff798d72a5bd87e2
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html>
<head><title></title></head>
<body> <table><tbody>
<tr><td colspan="3"><a href="hxxp://kaixinyoule.com/CC83171B819A5504EBBFE21CC81B3A9F//?sec=#VORNAME#&token=#NACHNAME#"> <img src="http://gandhihospital.ir//59B3465B5F664F961300E9A9894D97CF.png" >
</td></tr>
<tr>
<td colspan="3"> <div mc:edit="std_content00"> <h1 class="h1">
<a style="font-family: Helvetica Neue,Helvetica,Arial,sans-serif;"><font style="margin-right: 0px;" color="white" size="3"><br> Sehr geehrte/r ..!</font></a><alt></alt><alt></alt>
</h1> </div> </td> </tr>
<tr>
<td colspan="3"><a href="hxxp://kaixinyoule.com/CC83171B819A5504EBBFE21CC81B3A9F//?sec=#VORNAME#&token=#NACHNAME#"> <img src="" >
</td> </tr>
<tr>
<td>
</td> </tr>
<tr><td colspan="3">
</td></tr>
</tbody></table>
</body>
</html>
--b1_77dd7b710a12f899ff798d72a5bd87e2--
X-Envelope-To: <meineMail>
X-Delivery-Time: 1483529170
X-UID: 14616
Return-Path: <sendung@dhl.de>
X-RZG-CLASS-ID: mi07
Authentication-Results: strato.com 1;
spf=softfail
smtp.mailfrom="sendung@dhl.de";
dkim=none;
domainkeys=none;
dkim-adsp=none
header.from="sendung@dhl.de"
X-Strato-MessageType: email
Received-SPF: softfail
client-ip=82.165.170.243;
helo="s17048310.onlinehome-server.info";
envelope-from="sendung@dhl.de";
receiver=smtp.rzone.de;
identity=mailfrom;
Received: from s17048310.onlinehome-server.info (ns.b-teck.com [82.165.170.243])
by smtp.rzone.de (RZmta 39.11 OK)
with ESMTPS id A01477t04BQAzgI
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve secp384r1 with 384 ECDH bits, eq. 7680 bits RSA))
(Client did not present a certificate)
for <meineMail>;
Wed, 4 Jan 2017 12:26:10 +0100 (CET)
X-No-Relay: not in my network
Received: from localhost.localdomain (unknown [191.101.31.98])
by s17048310.onlinehome-server.info (Postfix) with ESMTPA id C21B2494250D
for <meineMail>; Wed, 4 Jan 2017 12:26:09 +0100 (CET)
Date: Wed, 4 Jan 2017 12:26:09 +0100
To: meineMail
From: DHL-Express <sendung@dhl.de>
Subject: Ihr DHL Paket ist auf dem weg!
Message-ID: <77dd7b710a12f899ff798d72a5bd87e2@localhost.localdomain>
X-Priority: 3
X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_77dd7b710a12f899ff798d72a5bd87e2"
Content-Transfer-Encoding: 8bit
--b1_77dd7b710a12f899ff798d72a5bd87e2
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
Sehr geehrte/r ..!
--b1_77dd7b710a12f899ff798d72a5bd87e2
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html>
<head><title></title></head>
<body> <table><tbody>
<tr><td colspan="3"><a href="hxxp://kaixinyoule.com/CC83171B819A5504EBBFE21CC81B3A9F//?sec=#VORNAME#&token=#NACHNAME#"> <img src="http://gandhihospital.ir//59B3465B5F664F961300E9A9894D97CF.png" >
</td></tr>
<tr>
<td colspan="3"> <div mc:edit="std_content00"> <h1 class="h1">
<a style="font-family: Helvetica Neue,Helvetica,Arial,sans-serif;"><font style="margin-right: 0px;" color="white" size="3"><br> Sehr geehrte/r ..!</font></a><alt></alt><alt></alt>
</h1> </div> </td> </tr>
<tr>
<td colspan="3"><a href="hxxp://kaixinyoule.com/CC83171B819A5504EBBFE21CC81B3A9F//?sec=#VORNAME#&token=#NACHNAME#"> <img src="" >
</td> </tr>
<tr>
<td>
</td> </tr>
<tr><td colspan="3">
</td></tr>
</tbody></table>
</body>
</html>
--b1_77dd7b710a12f899ff798d72a5bd87e2--
DrSnuggles
Xanatos
Der Server ist schon futsch
speck76
Bekanntes Mitglied
Hab heute mal wieder eine PayPal Phishing Mail erhalten, wie hier beschrieben:
http://www.onlinewarnungen.de/warnu...ieren-sie-ihr-konto-ist-ein-phishing-angriff/
"Bei Ihrer letzten Kreditkartenzahlung sind uns ungewöhnliche Aktivitäten aufgefallen." <-- Klang im erstem Moment logisch, weil ich Bank und Kreditkarte gewechselt habe.
Aber:
- der Absender ist merkwürdig: Received: from unknown (HELO paypal.com) (fujimoto@o2-kapuseru.com@82.198.204.25)
- der Bestätigungslink verweist auf: http://bit.ly/2mexIEu
- bei "Unregelmäßigkeiten" sperrt PayPal in der Tat den erneuten Login. Man muss sich dann per Telefon erneut authentifizieren. Ist mir mal passiert, als ich mich per VPN mit englischer IP eingeloggt hatte.
http://www.onlinewarnungen.de/warnu...ieren-sie-ihr-konto-ist-ein-phishing-angriff/
"Bei Ihrer letzten Kreditkartenzahlung sind uns ungewöhnliche Aktivitäten aufgefallen." <-- Klang im erstem Moment logisch, weil ich Bank und Kreditkarte gewechselt habe.
Aber:
- der Absender ist merkwürdig: Received: from unknown (HELO paypal.com) (fujimoto@o2-kapuseru.com@82.198.204.25)
- der Bestätigungslink verweist auf: http://bit.ly/2mexIEu
- bei "Unregelmäßigkeiten" sperrt PayPal in der Tat den erneuten Login. Man muss sich dann per Telefon erneut authentifizieren. Ist mir mal passiert, als ich mich per VPN mit englischer IP eingeloggt hatte.
g202e
The Long Man
Moin,
ein älterer Herr erhielt heute eine Mail von abmahnung(at)waldorf-frommer.de.
Der gesamte Mailkörper ist eine Grafik und ein Klick darauf führt zu einem Download einer "Waldorf-Frommer_03-2017_Abmahnung-42818.pdf.zip" von einem Server "waldorf-frommer.de-onlineserver.com".
In dem Archiv ist ein js-Skript gleichen Namens.
Ich wurde um Rat gefragt und habe die Meinung geäußert, dass er den ganzen Kram löschen soll und sich keine weiteren Gedanken machen soll.
Habe ich das richtig gemacht?
Früher gab es ja hier Freaks, die sich sowas mal näher anschauten; keine Ahnung, ob es die heute noch gibt.
(Ich habe mal versucht, den ganzen Kram hier anzuhängen, aber das klappt irgendwie nicht. Ist ein Archiv unter 10KB zu klein? Es wird als leer abgewiesen)
ein älterer Herr erhielt heute eine Mail von abmahnung(at)waldorf-frommer.de.
Der gesamte Mailkörper ist eine Grafik und ein Klick darauf führt zu einem Download einer "Waldorf-Frommer_03-2017_Abmahnung-42818.pdf.zip" von einem Server "waldorf-frommer.de-onlineserver.com".
In dem Archiv ist ein js-Skript gleichen Namens.
Ich wurde um Rat gefragt und habe die Meinung geäußert, dass er den ganzen Kram löschen soll und sich keine weiteren Gedanken machen soll.
Habe ich das richtig gemacht?
Früher gab es ja hier Freaks, die sich sowas mal näher anschauten; keine Ahnung, ob es die heute noch gibt.
(Ich habe mal versucht, den ganzen Kram hier anzuhängen, aber das klappt irgendwie nicht. Ist ein Archiv unter 10KB zu klein? Es wird als leer abgewiesen)
Anhänge
Bestatter
Schwarzfahrer
Lad' die unentpackte ZIP bei https://www.virustotal.com hoch und poste hier den Ergebnislink - das ist meist aussagekräftig genug.
g202e
The Long Man
Da war schon jemand schneller, denn dieselbe Datei wurde bereits vor 30 Minuten gescannt: 13/58
https://www.virustotal.com/de/file/...848083fd06d3760f318bd4ae34a0c860bf6/analysis/
https://www.virustotal.com/de/file/...848083fd06d3760f318bd4ae34a0c860bf6/analysis/
Bestatter
Schwarzfahrer
Erzähl es nicht Deinem Vater, er denkt sicher, er sei exklusiv bedacht worden.
Die Rate steigt die nächsten Tag erfahrungsgemäß noch an.
Immer wieder schön zu sehen, wie wirkungslos Antivirentools bei frischen Varianten sind.
dr_tommi
alter Oldie
Solange die Brain.exe noch einigermaßen arbeitet sollte das nicht so das Problem sein.Immer wieder schön zu sehen, wie wirkungslos Antivirentools bei frischen Varianten sind.
Aber es gibt ja immer wieder Leute die auf alles klicken was ihnen angeboten wird.
g202e
The Long Man
Der war es nicht, aber auch uninteressant.
Ich wollte euch jetzt mal das Skript als Code anbieten, aber ich darf keine Beiträge mit mehr als 10000 Zeichen erstellen.
Hätte mich schon interessiert, was das Teil versucht...
dr_tommi
alter Oldie
Was verhindert einen Upload z.B. bei zippyshare?
dr_tommi
alter Oldie
pgp8
Bekanntes Mitglied
anti virus programme unter windows xp- windows 10 werden zu virusverteilern....
Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton
lange bekannt...
https://thehackernews.com/2017/03/hacking-windows-dll-injection.html
Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton
lange bekannt...
https://thehackernews.com/2017/03/hacking-windows-dll-injection.html
Wenn ich es richtig verstanden habe, ist auch hier das Problem, daß nach einem Neustart die Registry Einträge noch vorhanden sind
und somit das System erneut infizieren. Umso sinnvoller wird eine Systemabsicherung durch Software wie HDGuard, welche alle
Änderungen nach dem Neustart verwirft. Damit sind die Eingriffe ins System schon mal weg. Ob dann noch irgendwelche Dateien in
umgeleitete Temp Ordner auf D: liegen, ist dann egal, da kein aktiver Ladebefehl mehr existiert. Eingriffe auf ungeschützte Partitionen verhindert dies natürlich nicht aber das System ist gleich wieder nutzbar und sicher ohne weitere Virenreparatur.
und somit das System erneut infizieren. Umso sinnvoller wird eine Systemabsicherung durch Software wie HDGuard, welche alle
Änderungen nach dem Neustart verwirft. Damit sind die Eingriffe ins System schon mal weg. Ob dann noch irgendwelche Dateien in
umgeleitete Temp Ordner auf D: liegen, ist dann egal, da kein aktiver Ladebefehl mehr existiert. Eingriffe auf ungeschützte Partitionen verhindert dies natürlich nicht aber das System ist gleich wieder nutzbar und sicher ohne weitere Virenreparatur.
romeo
Bekanntes Mitglied
Ja, der beste davon wurde leider gebannt von hier, soweit ich weiss aus politischen Gründen letztendlich.
Schade
magicbyte
Gut, unschön gedroht hat er auch mal, war zwar ein Spruch gegen seine Familie, aber der member hat sich entschuldigt und
jeder kann maln Ausrutscher haben, z.B. wenn er einiges getrunken hat.
Dann entweder aufn dummen Spruch "Instant Karma" oder am nächsten Tag kann man auch die Entschuldigung annehmen, so seh ich das
Instant Karma fällt im Internet flach, das hat sich bei magic angestaut
Ja, ich vermisse ihn!
Fehler in Microsoft Security:
https://www.heise.de/security/meldu...Software-von-Windows-geschlossen-3706615.html
https://www.heise.de/security/meldu...Software-von-Windows-geschlossen-3706615.html
Bekam heute eine eMail, Absender angeblich Amazon Rechnungsservice.
Betreff: Ihre Zahlung wurde abgelehnt
Sonst kein Text, nur zwei Bilder (die ich nicht herunter geladen habe, weil mein eMail-Client so eingestellt ist das er extern verlinkte Inhalte nur nach Bestätigung herunter läd).
Adresse für beide verlinkten Dateien (möglicherweise Bilder, vielleicht auch ganz was anderes) ist aber identisch.
Echter Absender ist anscheinend eine seriöse Firma (mit der ich aber noch nie etwas zu tun hatte), möglicherweise wurde deren eMail-Account gehackt.
Betreff: Ihre Zahlung wurde abgelehnt
Sonst kein Text, nur zwei Bilder (die ich nicht herunter geladen habe, weil mein eMail-Client so eingestellt ist das er extern verlinkte Inhalte nur nach Bestätigung herunter läd).
Adresse für beide verlinkten Dateien (möglicherweise Bilder, vielleicht auch ganz was anderes) ist aber identisch.
Echter Absender ist anscheinend eine seriöse Firma (mit der ich aber noch nie etwas zu tun hatte), möglicherweise wurde deren eMail-Account gehackt.
Aus aktuellem Anlass:
https://gizmodo.com/dont-fall-for-this-scam-claiming-you-were-recorded-watc-1827557323
Ist Fake bedient sich offensichtlich gehackten Passwortlisten.
Es kann also durchaus sein das das Passwort stimmt
https://gizmodo.com/dont-fall-for-this-scam-claiming-you-were-recorded-watc-1827557323
Ist Fake bedient sich offensichtlich gehackten Passwortlisten.
Es kann also durchaus sein das das Passwort stimmt
octopussy
Aufsichtsratsvorsitzender
Im erweiterten Sinne gehört dies auch hier her:
Bei der Geschäftsabwicklung wird vom Kunden eine Verifizierung über das Video-Ident-Verfahren gefordert, der einzige Zweck ist dabei jedoch die Anlegung eines Online-Banking-Kontos, auf das der Betrüger dann Zugriff hat:
https://www.sueddeutsche.de/wirtschaft/kriminelle-ebay-video-ident-1.4357189
Bei der Geschäftsabwicklung wird vom Kunden eine Verifizierung über das Video-Ident-Verfahren gefordert, der einzige Zweck ist dabei jedoch die Anlegung eines Online-Banking-Kontos, auf das der Betrüger dann Zugriff hat:
https://www.sueddeutsche.de/wirtschaft/kriminelle-ebay-video-ident-1.4357189
Belzeboter
Zombie
Keine Sorge, ist eh alles bald vorbei, wenns nach unseren Volksverrätern geht:
https://www.golem.de/news/uploadfilter-voss-stellt-existenz-von-youtube-infrage-1903-139992.html
Nach Rufen des Verbots von Verschlüsselungs und Tor/Darknet (was für Politiker ja dasselbe ist)
ist das der 3. Streich. Auf in den totalen Zensur- und Überwachungsstaat
-Belzeboter-
https://www.golem.de/news/uploadfilter-voss-stellt-existenz-von-youtube-infrage-1903-139992.html
Nach Rufen des Verbots von Verschlüsselungs und Tor/Darknet (was für Politiker ja dasselbe ist)
ist das der 3. Streich. Auf in den totalen Zensur- und Überwachungsstaat
-Belzeboter-
Falls es jemand nicht mitbekommen hat selbst Heise kann es treffen
https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html
Sie warnen ausdrücklich vor Emotet
Also Backup Backup Backup
Und vor allem offline Backups
https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html
Sie warnen ausdrücklich vor Emotet
Also Backup Backup Backup
Und vor allem offline Backups
ultimate
Alle wollen alt werden. Keiner will alt sein.
... mit "Schlangenöl" wäre das nicht passiert!
06.12.2018 16:57 Uhr
https://www.heise.de/security/artik...-Sie-sich-vor-der-Trojaner-Welle-4243695.html
Das Sicherheitskonzept scheint Heise bis jetzt auch nicht in Erfahrung gebracht zu haben.
SCNR
(präventiv: ich verwende "nur Defender")