[Noillusion]

Seit einiger zeit "schneien seltsame E-mails bei mir im Postfach ein, welches allerdings nicht mehr direkt unter Ebay verwendet wird. Der Absender macht mich bereits skeptisch - Urgent Fraud Investigation - da alles in englisch steht war mir gleich klar - SPAM.
In der mail wird gebeten sich über eingefügten link bei "ebay" einzuloggen und z.B. seine Daten zu aktualisieren oder angeblich wurden seltsame Aktivitäten im Account erkannt und man solle sich einloggen, Benutzerdaten ändern, sonst werde der Account inerhalb der kommenden Tage gelöscht - aus "Sicherheitsgründen". Der eingef. Link führt natürlich nicht zu EBAY sondern sonst wo hin.

Was ich allerdings erst später bemerkte war, daß die mail ( als HTML ) einen Trojaner beinhaltete , dieser wurde von Gdata-Scanner nicht sofort erkannt und schlüpfte sogar durch den Virenschutz meines Internetprovider ( 1 u... ).

Eine Virenprüfung auf dem Notebook, Gdata AVK 2004, Windows XP HE SP2, Windows Firewall, - entlarfte den Übertäter, der noch keinen Schaden anrichten konnte, allerdings schon darauf wartete. Die Überprüfung auf dem PC mit MCAfee Internet Security, blieb ohne Virenfund.
Die mail blieb im Spamkiller hängen. Außer die von heute, die ging durch, seltsam!

Die E-mail's wurden von mir an ebay weitergeleitet - [email protected] - damit diese sich um die Absender kümmern. Danach war zunächst Ruhe, bis die nächsten email's eintrafen - als Absender dies mal , scheinbar Banken aus Spanien und England.

Nun die Überraschung - heute schlug AVK beim Empfang der mail an und meldete en -trojan-spy.html.bayfraud.cg- wie es sich halt gehört.
ACHTUNG! Diese Mail enthaelt folgenden Virus: Trojan-Spy.HTML.Bayfraud.cg
Die infizierten Teile wurden gelöscht. Der Text enthielt einen Virus und wurde gelöscht. .

Beim PC keine Meldung - ich wurde stutzig, "Das gibts doch nicht", dachte ich mir.
Ein Online-Virenscan bei Panda, brachte das Unheil ans Tageslicht.
3 x Trojaner gefunden und desinfiziert, - so ein Mist, ist der durchgemacht.
Eine zweite Prüfung bei symantec.de blieb ohne Erfolg das Prüfen des Symantec-Scanners auf C wurde unterbunden.
Ich baute die Festplatte aus, ab ins Festplattengehäuse und AVK durfte prüfen.
Das Ergebnis :



Die Dateien mit Zugriffsverweigerung (im Bild) wurden manuell gelöscht, denn der Verdacht war hoch, daß es sich um den Tojaner handelte, "clever" gemacht.
Der Email-account wurde auf Eis gelegt. Vorerst läuft nun F-Secure auf'm PC und die Anzeige von "schönen" HTML-Mail's ist erst mal zu Ende. Passwörter wurden geändert.

mfG Noillusion

Trojan-Spy.HTML.Bayfraud.cg
Typ: Trojaner
Erkannt seit AVK version: AVK 15.0.2323, Datum 9.1.2005
(Hilfe: Wie erkenne ich meine AVK version?)
Allgemeine Beschreibung:
Trojan-Spy.HTML.Bayfraud.cg ist ein selbständiges Programm mit einer verdeckten Schadfunktion, das z. B. Passwörter ausspioniert.

[Rika]

1. Nimm einen guten Schuss Insulin, das beruhigt dich wieder.
2. Merkst du noch was? Du hast einen Exploit in einer HTML-Mail bekommen. Niemand hat irgendwas davon erzählt daß der Exploit überhaupt zur Ausführung kam und funktionierte. Die Scanergebnisse zeigen allesamt daß das Ding nur nachwievor in deiner Mailbox liegt.
3. Besorgniserregend ist bestenfalls daß du Outlook Express zu benutzen scheinst und HTML-Mail eingeschaltet hast. An deinen Stelle würde ich mal den Exploit endlich anschauen und prüfen, ob da nicht eine bekannte ungepatchte Lücke in OE ausgenutzt wird.
4. Die Dateien mit verweigertem Zugriff scheinen genau gar keinen Zusammenhang mit dem Vorfall zu haben, aber die Angabe des vollständigen Dateinamens und der Inhaltes scheinen dir ja auch nicht am Herzen zu liegen.

Dieser Beitrag wurde von Rika bearbeitet: 13. Februar 2005 - 21:14

[sa seba]

Dangerous Email

[Noillusion]

Tja, war wohl fahrlässiger Leichtsinn mit Outlook zu mailen . Ein Grund mehr für den Abschied nun auf immer!
Was soll's auch andere" Mütter haben hüsche Töchter" .
Bei vielen mail's brauche ich html nicht , aber bei den Newslettern ist es sehr vorteilhaft.


Das Problem ist wohl überall bekannt mit dem Ebay-Spam? Ich frage mich echt, ob sich das für die lohnt, Passwörter ausspionieren und dann ....

Wird bald Zeit, daß sich die Banken mal was einfallen lassen, so schwer kann es doch nicht sein - die brauchen doch nur die TAN - Nummer nur national festlegen und bei internationalen Überweisungen muss man ne gesonderte TAN-Liste verwenden. Die Banken machen es sich ziehmlich leicht und schieben die Verantwortung dann einfach auf die Online Bänking Nutzer.


mfG Noillusion


PS: Rechtschreibfehler und andere wurde absichtlich im Text integriert, damit hier nicht das Futter zum allgemeinern Meckern ausgeht.

[Rika]

1. Wenn Passwörter ausspioniert werden können hast du schlicht und ergreifend verloren.
2. Das einzige, was du vorschlägst, sei die massive Berhinderung des internationalen Geldtransfers zur beschränkten Lokalisierung des Problemansatzes. Toll.
3. Ich schreibe lieber eMails statt Mails. Mails sind in schwammiger Ansatz von Byteschubserei.
4. Bitte was? Zunächst scheitert es praktisch immer an der Verantwortlichkeit der Benutzer (Virenscanner, "Firewall", Antispyware-Programm, IE und Warez unter einer Haube), zum anderen existiert HBCI.

[Noillusion]

Als Verlierer fühle ich mich nicht gleich, denn an eine absolute Sicherheit - so naiv ist hier von uns doch keiner!? Versagt hat die Software , die meinen PC vor der Infektion schützen sollte, aber wie war das mit der Erkennungsquote?
Auf die absolute Scannleistung werden wir vergebens warten, stattdessen benötigen wir auch andere Alternativen, einfach, unkompliziert und praktisch. ( und am besten ohne Euro )

Die Angelegenheit den Geldtransfer zu regulieren , überlasse ich den banken selbst - im Detail, habe ich ja eh kaum einen Einfluß drauf. Wichtig ist, daß ne brauchbare Idee auf den Markt kommt, und diese dann auch in die Praxis umgesetzt wird.

Nicht alle verwenden eine Extra-Software zum Online Banking, aber darin wird sich sicher was ändern, wenn erst mal die nächsten , noch ausgefeilteren Trojaner in der dunklen Hexenküche gekocht werden.


mfG Noillusion


PS: Rechtschreibfehler und andere wurde absichtlich im Text integriert, damit hier nicht das Futter zum allgemeinern Meckern ausgeht.

[Rika]

1. Versagt hast du, weil du der Software, die den Rechner infiziert hat, überhaupt die Möglichkeit gegeben hast den Rechner zu infizieren (sofern er denn infiziert ist -- wie ich schon sagte sieht's eher nicht danach aus). Sowas wird von der Mehrzahl der User heutzutage offensichtlich als gottgegeben und unvermeidbar angesehen.
2. Malware per eMail ist genau gar kein Thema, weil es genau gar keinen Mailclient gibt mit dem sowas ernsthaft passieren kann. OE/Outlook ist übrigens kein Mailclient.
3. Auch gegen Viren gibt es einen vollständige und zuverlässige Lösung: Zugriffsrechte. Daß sowas benutzerfreundlich umsetzbar ist zeigt MacOSX.
4. Nicht mal ich verwende HBCI, sondern nur PIN/TAN. Ich bin mir aber auch darüber im Klaren welche Implikationen das hat. HBCI ist übrigens zwar nicht total zuverlässiger, aber sehr praktikabler Ansatz gegen kompromittierte PC-Clients.
5. Die dunkle Hexenküche hört wohl auf den Namen ACM Turing Award '84 und ist ein Perfektes Trojanisches Pferd.

[Noillusion]

na bitte, wer sagt 's denn, als wenn McAfee mich erhört hat, sie kündigen mehr
Updates pro woche an. Ab dem 24.02.05 soll's losgehen.
Nun habe ich mir bereits anders geholfen und meine Spamfilter manuelle nachgebessert, und weiter wird der Filter beim Provider aktiviert, Pech für den der hängen bleibt.

Die Konfig. mit Thunderbird unter McAfee, Spamkiller war Gott sei dank, nicht aufwendig. - vielleicht gibt's bald nen Thunderbird " Plug in "?

[Rika]

Heißt das du killst dir absichtlich deine SSL/TLS-Verbindung?

[Noillusion]

ich hab nix zu verbergen in meiner Email , darf jeder mitlesen der kann, haben auch mal andere was lachen und zum neidisch werden. Ich versende nun keine Passwörter oder gar PIN's usw.
Nur blablabla und paar zitate( Pic's) aus m Playboy.

[Rika]

1. Es geht nicht um Transportsicherung, sondern um sichere Authentifizierung. Ohne SSL/TLS versendet du nämlich die Passwörter für den Login zu deiner Mailbox.
2. Für das "nix zu verbergen"-Gefasel betrachte ich dich als Feind der Demokratie. Bitte geh sozialverträglich sterben!

[Noillusion]

....und mit SSL versende ich kein Passwort für den Login? Klär mich mal richtig auf, bitte.

Es gibt Wünsche die kann ich so gern ich es tät keinem erfüllen, denn die mehrzahl hat noch erfüllbare offen!

[Rika]

Natürlich versendest du ein Passwort an den Mailserver. SSL/TLS sorgt dafür daß wirklich nur dieser das Passwort auch lesen kann.,

[Noillusion]

und welche einstelllungen müsste ich ändern in Thunderbird, Spamkiller(b. Provider ) damit es per SSL funktioniert? Was mache ich wenn der Provider kein SSL anbietet?

[Rika]

Zitat

und welche einstelllungen müsste ich ändern in Thunderbird, Spamkiller(b. Provider ) damit es per SSL funktioniert?

Das ist sogar schon 'ne RTFM-Frage.
Spamkiller und den McAfee-Krempel kannste damit aber wiederum prinzipbedingt vergessen.

Zitat

Was mache ich wenn der Provider kein SSL anbietet?

Verzichten.