myGully.com Boerse.SH - BOERSE.AM - BOERSE.IO - BOERSE.IM Boerse.BZ .TO Nachfolger
Registrieren Hilfe myGully Toplist Heutige Beiträge
Zurück   myGully.com > Talk > News
Seite neu laden

[Internet] Warnung - Virenpost durch Postviren

Willkommen

myGully

Links

Forum

 
 
 
Themen-Optionen Ansicht
Prev Vorheriger Beitrag   Nächster Beitrag Next
Ungelesen 08.06.12, 22:36   #1
TinyTimm
Legende
 
Benutzerbild von TinyTimm
 
Registriert seit: Aug 2011
Ort: in der Wildnis
Beiträge: 15.519
Bedankt: 34.774
TinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punkte
Standard Warnung - Virenpost durch Postviren
Zitat:
Unbekannte verschicken derzeit massenhaft Virenmails mit dem Betreff "Ein Fehler in der Lieferanschrift", die vermeintlich von der Deutschen Post AG stammen. Wer seinen Rechner damit infiziert, wird damit nicht nur selber sofort zur Virenschleuder, sondern auch zur Angriffsdrohne: Direkt nach der Infektion beginnt der Trojaner, PHP-Seiten im Internet anzugreifen und versucht dort, eine Hintertür zu installieren.

Der Empfänger der Mail wird aufgefordert, mit Hilfe des Mailanhangs ein Postetikett auszudrucken und damit eine Sendung bei der Post abzuholen. Die angehängte gezippte Exe-Datei wird derzeit nur von einer Hand voll Virenscanner erkannt. Bei einem Kurztest in einer Sandbox wurde allerdings sofort klar, dass es sich um einen Schädling handelt.

Nachdem sich die Malware in den Autostart geklinkt und in einen Ordner innerhalb des Benutzerprofils kopiert hat, verwischt sie ihre Spuren, indem sie die ursprüngliche Exe-Datei löscht. Der Bot startet anschließend vom infizierten System aus einen Massenangriff auf zahlreiche Webseiten: Durch den Aufruf speziell formatierter URLs versucht der Bot festzustellen, ob ein Server anfällig für eine PHP-Lücke ist, die erst vor wenigen Wochen geschlossen wurde. Die Wahrscheinlichkeit ist hoch, dass der ein oder andere Admin seinen Server noch nicht auf den neuesten Stand gebracht hat. Der Bot versucht dabei, eine Datei namens info3.txt in die aufgerufene Seite einzuschleusen, die folgenden PHP-Code enthält:

<?php
echo("830ad4ea3b311795d5a615b9e5fdbb9a");
?>

Anscheinend prüft der Bot, ob der Server den Code ausführt und die Zeichenkette zurückliefert; in diesem Fall wäre der Server verwundbar. Wandelt man die URL der eingeschleusten info3.txt leicht ab, findet man weiteren PHP-Code, der offenbar dazu dient, eine PHP-Shell auf dem angegriffenen Server zu installieren. Dadurch hätten die Botnetz-Betreiber schlimmstenfalls die volle Kontrolle über den Server – ein Angriff, der zunächst auf die IP-Adresse des infizierten Rechners zurückfällt. Damit das Botnetz der Kriminellen tüchtig wächst, versendet der Bot während der Angriffs weitere Virenmails, wie sie einst der Besitzer des infizierten Systems empfangen hat. (rei)
Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
__________________
TinyTimm ist offline   Mit Zitat antworten
 

« Vorheriges Thema | Nächstes Thema »

Forumregeln
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
BB code is An
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:53 Uhr.


myGully - Archiv - Nach oben
Sitemap

().