[TimeTurn]

Habe soeben eine neue Variante des Telekom-Rechnungs-Trojaners erhalten, der von AVG 7 mit aktuellster Signatur nicht erkannt wird

(siehe auch http://www.heise.de/newsticker/result.xhtm...r/meldung/59415)

---
[...]
Received: from yupl (52.87.79.166) by host134.ipowerweb.com;
Tue, 10 May 2005 04:15:58 -0700

From: <[email protected]>
X-Mailer: The Bat! (v2.01)
Reply-To: <[email protected]>
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------B4DD51987FF"

------------B4DD51987FF
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

Hiermit erhalten Sie ihre Stromabrechnung fuer das Jahr 2005
---

Mit einem Attachment "Rechnung.doc.exe"
eine weitere Mail bekam ich letzte Nacht:

---

[...]
Received: from ruch (144.135.232.13) by host128.ipowerweb.com;
Mon, 9 May 2005 17:27:41 -0700

From: <[email protected]>
X-Mailer: The Bat! (v2.01)
Reply-To: <[email protected]>
X-Priority: 3 (Normal)
Message-ID: <[email protected]>

------------88AC9B0D2B5734
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: quoted-printable

Sehr geehrte Kundin, sehr geehrter Kunde,

Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und -soweit=
von Ihnen beauftragt- die
Einzelverbindungs=D8bersicht.

Nutzen Sie auch unter www.t-com.de die vielf=C4ltigen M=C3glichkeiten von=
Rechnung Online, wie z.B. Sortierungs- und
Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unte=
r "Hilfe/FAQ" auch n=D8tzliche Tipps zur Nutzung von
Rechnung Online.

Mit freundlichen Gr=D8=F1en
Ihre Deutsche Telekom

*****************************

Wer genau hinschaut, sieht das der Trojanerbastler wohl auf den Servern von "ipowerweb.com" sitzen muss, beide Mails wurden durch deren Server weitergeleitet, einmal von "host128" und einmal von "host134".

Ich würde ja gerne mal jemanden sehen, der dafür in den Bau wandert, wenn er schon so offensichtlich aus einem Netz heraus operiert. Weiterhin verschickt dieser die Mails scheinbar mit "The Bat!" (was natürlich fake sein kann).

Hat wer noch weitere Hostnamen dazu beizutragen und kann das verifizieren?

NACHTRAG: Screenshot

Dieser Beitrag wurde von TimeTurn bearbeitet: 10. Mai 2005 - 13:51

[shiversc]

der mailserver ist mit höchster wahrscheinlichkeit gekapert.

[SFFox]

Also.... *.doc.exe ... wer auf sowas schon klickt tut mir Leid. Jetzt mag man wieder sagen: "Ja aber die armen Ottonormalnutzer, die nicht wissen, was sie da tun..."
Wenn diese Leute sich einen Internetzugang holen, sind sie auch verantwortlich dafür, richtig damit umgehen zu können. Man holt sich ja auch im Baumarkt keinen Hammer um die Wand neu zu streichen. Und warum? Weil man sich vorher schlau gemacht hat, dass man das mit einem Pinsel oder einer Farbrolle macht

Dieser Beitrag wurde von SFFox bearbeitet: 10. Mai 2005 - 15:03

[Kampfrapunzel]

Das Problem ist halt bei *.doc.exe wenn die Dateierweiterung bei bekannten Dateien ausgeblendet ist, dann kann man das auch als erfahrener User übersehen.

[Koopatrooper]

Zitat

Das Problem ist halt bei *.doc.exe wenn die Dateierweiterung bei bekannten Dateien ausgeblendet is

Es ist ja nicht sonderlich schwer, das in den Ordneroptionen schnell zu ändern.

Dieser Beitrag wurde von Koopatrooper bearbeitet: 15. Mai 2005 - 18:57

[sкavєи]

Zitat (Kampfrapunzel: 10.05.2005, 16:11)

Das Problem ist halt bei *.doc.exe wenn die Dateierweiterung bei bekannten Dateien ausgeblendet ist, dann kann man das auch als erfahrener User übersehen.<{POST_SNAPBACK}>

Als erfahrener User sollte man aber die Dateierweiterungen auch nicht deaktiviert haben. Und selbst wenn man es hat dann fällt es einem, wenn man keine Erweiterungen gewöhnt ist, doch wohl auf, dass dort plötzlich 'ne Erweiterung steht.

Zitat (max: 15.05.2005, 19:53)

Das sicherste ist, nur von denen Emails zu empfangen, die man im Adressbuch hat. Und die Datei-ndung exe kann man doch im Emailprogramm blocken.<{POST_SNAPBACK}>

Is' ja 'ne Super-Idee, ich hab' doch keinen Bock 150 Leute im Adressbuch zu haben, nur weil die mir alle irgendwann im Jahr mal ein oder 2 e-Mails schreiben. Und das mit dem Dateiendung Executable sperren 'is ja wohl auch nich' das wahre oder? Was ist mit ade, adp, bas, bat, chm, cmd, com, cpl, crt, hlp, hta, inf, ins, isp, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh? Die musst du dann auch alle sperren. Und dann kannst du so gut wie gar nichts mehr empfangen.
Daher: Köpfchen einschalten und nachdenken vor dem Mails öffnen, sowie ein gut konfigurierter Spamfilter reichen völlig aus. Um ehrlich zu sein habe ich nicht mal einen Echtzeit-Virenscanner auf dem Rechner. Der würde das system nur ausbremsen ich lasse den Rechner jede Woche einmal Automatisch scannen und habe bisher nie einen Virus gehabt (jedenfalls nicht auf diesem Rechner, den letzten Virus hatte ich vor 8 Jahren auf'm 486er). Man muss einfach nur wissen was man tut.

Dieser Beitrag wurde von TheSuicider bearbeitet: 15. Mai 2005 - 20:28

[sкavєи]

Natürlich wäre das sicher, aber ich habe genug Geschäftskontakte, welche mir öfters mal Anhänge schicken. Und teilweise auch Personen von denen ich noch nie zuvor eine E-Mail bekommen habe und dann eine eMail mit Anhang bekomme. Wie soll ich solche Leute im Adressbuch haben? Also meiner meinung nach ist das eine denkbar schlechte Methode, da sollte man eher zusehen, dass man nichts öffnet was im Anhang ist ohne vorher abgeklärt zu haben, woher das kommt, annehmen kann man solche Mails meiner Meinung nach schon.
Man sollte halt nur standarisiert HTML-Contents in Mails blocken und keinen E-Mail-Client verwenden, welcher von Sicherheitslücken zerfressen ist. Außerdem sollte man zusehen seine E-Mail-Adresse(n) nicht allzu öffentlich zu verwenden. Sprich man sollte sich nirgendwo anmelden, wo man sich nicht sicher ist, dass die adressen nicht weitergegeben werden und sie nicht in reinform ins Netz stellen.
Eventuell sollte man Fake-Adressen, wie z.B. [email protected], verwenden um sich bei Sachen, die keine Bestätigung erfordern, anzumelden. Eine gute Lösung, welche eigentlich bei jedem der Standard sein sollte, ist auch mehrere E-Mail-Adressen zu verwenden um z.B. eine für Anmeldungen usw. zu verwenden und eine für Private Kontakte. So hat man eine adresse wo man gefahrlos alles öfnnen kann und eine wo man es tunlichst vermeiden sollte. Allerdings bleibt auch hier der Spam und auch die Viren-Mails auf den privaten Adressen nicht aus, daher sollten die engsten Kontakte statt der E-Mail-Adresse eher den OpenPGP-Key verwenden um einen zu kontaktieren. Dann kann man nämlich auch die Adresse wechseln ohne sofort nicht mehr erreichbar zu sein.

[sкavєи]

Na ja, ich schreib mal kurz wie ich es mache:

Ich habe drei Haupt-E-Mail-Adressen.

Die erste Adresse ist nur für Freunde und Verwandte diese Adresse wird ab und zu mal gewechselt. Die neue E-Mail-Adresse müssen die sich dann über den OpenPGP-Key suchen.

Die zweite Adresse ist für geschäftliche Sachen.

Und die Dritte ist für Anmeldungen, Newsletter, usw.

Als Mail-Client verwende ich Thunderbird mit 'nem gut trainierten Filter und als Virenscanner der ab und zu mal komplett scannen darf (jedoch nicht dauerhaft scannt) nutze ich Kaspersky Antivirus Personal Pro. Wenn eine Mail mit Anhang aus einer unbekannten Quelle kommt wird als erstes der Virenscanner drübergejagt. Wenn der nix findet und ich mir immer noch nicht sicher bin woher die Mail kommt wird der Anhang zu Kaspersky geschickt. Wenn dann immer noch kein Virus drin ist öffne ich ihn erst.
HTML-Inhalte in E-Mails werden sowieso standardmäßig geblockt. Bisher bin ich mit diesem Weg immer ganz gut gefahren.