Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Aktuelle Virenmail

22 views
Skip to first unread message

Christian Winther

unread,
Jan 16, 2012, 1:29:26 PM1/16/12
to
Achtung,

hier ist gerade auf einem sonst nicht genutzten T-Online-Account eine
Mail mit Anhang aufgeschlagen.

Betreff: Rechnung Januar

Anhang: Rechnung-Januar.exe (147 KB)

Symbol der Exe wie ein PDF-Dokument.

Das Ganze ist mit Sicherheit ein Schädling.

Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).

Mail an abuse@t-online ist raus.

HTH CW

Daniel Schneider

unread,
Jan 16, 2012, 4:39:18 PM1/16/12
to
Am 16.01.2012 19:29, schrieb Christian Winther:

> Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).

Lade die Datei mal auf der https://www.virustotal.com/ hoch. Dort werden
zig Virenscanner durch getestet.

--
Gruß
Daniel

Christian Winther

unread,
Jan 17, 2012, 12:57:25 AM1/17/12
to
www.jotti.org hat eine ähnliche Funktionalität wie www.virustotal.com.

Auf www.virustotal.com hat nur Ahnlab was gefunden (irgendwas
generisches mt *Win32*).

MfG CW

Juergen P. Meier

unread,
Jan 17, 2012, 1:19:03 AM1/17/12
to
Christian Winther <cw20...@gmx.de>:
> hier ist gerade auf einem sonst nicht genutzten T-Online-Account eine
> Mail mit Anhang aufgeschlagen.
>
> Betreff: Rechnung Januar
> Anhang: Rechnung-Januar.exe (147 KB)
> Symbol der Exe wie ein PDF-Dokument.
>
> Das Ganze ist mit Sicherheit ein Schädling.

Offensichtlich, ja.

> Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).

Ach. Dann wird er entweder recht neu sein, gaaaanz alt oder einfach
nur eine so stark modifizierte Variante, dass die Patterns es nicht
erkennen.

Das ist ja mit einer der Hauptgruende, warum Virenscanner ganz
konzeptionell nicht vor Viren schuetzen koennen.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Helmut Hullen

unread,
Jan 17, 2012, 2:12:00 AM1/17/12
to
Hallo, Juergen,

Du meintest am 17.01.12:

>> Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).

> Ach. Dann wird er entweder recht neu sein, gaaaanz alt oder einfach
> nur eine so stark modifizierte Variante, dass die Patterns es nicht
> erkennen.

> Das ist ja mit einer der Hauptgruende, warum Virenscanner ganz
> konzeptionell nicht vor Viren schuetzen koennen.

Mal wieder die (unsinnige) Schwarz-Weiss-Malerei.
Auch wenn die Virenscanner keine 100-%-Erkennung schaffen, sind sie ein
hilfreiches (weiteres) Werkzeug, um den eigenen Rechner zu schützen.

Viele Gruesse!
Helmut

Roland Ertelt

unread,
Jan 17, 2012, 4:14:59 AM1/17/12
to
Und so sprach Helmut Hullen:

> ...
> Auch wenn die Virenscanner keine 100-%-Erkennung schaffen, sind sie ein
> hilfreiches (weiteres) Werkzeug, um den eigenen Rechner zu schützen.
> ...

Vor allem im vom OP geschilderten Fall, gelle?

Roland

Uwe Premer

unread,
Jan 17, 2012, 4:47:15 AM1/17/12
to
Christian Winther schrieb am Montag, 16. Januar 2012 19:29:

> hier ist gerade auf einem sonst nicht genutzten T-Online-Account eine
> Mail mit Anhang aufgeschlagen.
>
> Betreff: Rechnung Januar
> Anhang: Rechnung-Januar.exe (147 KB)

Hab ich auch erhalten.
Interessant ist, dass der T-Online-eigene Postfachvirenschutz den Schädling
auch noch nicht in seiner Liste hat:

| X-TOI-SPAM: n;1;2012-01-16T16:43:53Z
| X-TOI-VIRUSSCAN: clean
| X-TOI-EXPURGATEID: 150726::1326732190-00007904-34B39DE7/0-0/0-7
| X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT

Immerhin wird da im Header vor einem "gefährlichen Anhang" gewarnt. Aber wer
schaut denn schon in die Header bei sowas?

> Mail an abuse@t-online ist raus.

Ack.

Uwe

Helmut Hullen

unread,
Jan 17, 2012, 4:55:00 AM1/17/12
to
Hallo, Roland,

Du meintest am 17.01.12:

>> ...
>> Auch wenn die Virenscanner keine 100-%-Erkennung schaffen, sind sie
>> ein hilfreiches (weiteres) Werkzeug, um den eigenen Rechner zu
>> schützen. ...

> Vor allem im vom OP geschilderten Fall, gelle?

Stimmt - das ist eine Variante von "keine 100-%-Erkennung".
Auf meinem Rechner sind bisher alle derartigen Viren (die Teil einer E-
Mail waren) schon vom Spam-Filter aussortiert worden. Auch Spam-Filter
liefern allerdings keine 100-%-Erkennung.

-------------------

Nur sicherheitshalber: kennst Du ein auch von Endanwendern zuverlässig
benutzbares Verfahren, das 100-prozentig schützt?
Nein - ich meine nicht den Seitenschneider.
Und komm jetzt bitte nicht mit einem Bündel von Massnahmen - das wäre
nur die indirekte Bestätigung, dass es keine einzelne Massnahme gibt,
die 100-prozentig schützt.

Viele Gruesse!
Helmut

Helmut Hullen

unread,
Jan 17, 2012, 4:58:00 AM1/17/12
to
Hallo, Uwe,

Du meintest am 17.01.12:

>> hier ist gerade auf einem sonst nicht genutzten T-Online-Account
>> eine Mail mit Anhang aufgeschlagen.
>>
>> Betreff: Rechnung Januar
>> Anhang: Rechnung-Januar.exe (147 KB)

> Hab ich auch erhalten.
> Interessant ist, dass der T-Online-eigene Postfachvirenschutz den
> Schädling auch noch nicht in seiner Liste hat:

> | X-TOI-SPAM: n;1;2012-01-16T16:43:53Z
> | X-TOI-VIRUSSCAN: clean
> | X-TOI-EXPURGATEID: 150726::1326732190-00007904-34B39DE7/0-0/0-7
> | X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT

> Immerhin wird da im Header vor einem "gefährlichen Anhang" gewarnt.
> Aber wer schaut denn schon in die Header bei sowas?

Mein Spam-Filter macht das ...

Viele Gruesse!
Helmut

Message has been deleted

Helmut Hullen

unread,
Jan 17, 2012, 6:02:00 AM1/17/12
to
Hallo, Mathias,

Du meintest am 17.01.12:

>> Nur sicherheitshalber: kennst Du ein auch von Endanwendern
>> zuverlässig benutzbares Verfahren, das 100-prozentig schützt?

> Im geschilderte Falle schon, einfach keine *.exe ausführen, so lange
> nur geringste Zweifel bestehen. ;-)

Klar - "solange nur geringste Zweifel bestehen" ...
Also nehme ich einen wohlklingenden Namen für die Datei. Ist ein simples
und (wie die Vergangenheit zeigt) oft gut funktionierendes Verfahren,
"Brain 1.0" zu überlisten.

Viele Gruesse!
Helmut

Message has been deleted

Helmut Hullen

unread,
Jan 17, 2012, 7:51:00 AM1/17/12
to
Hallo, Mathias,

Du meintest am 17.01.12:

>>> Im geschilderte Falle schon, einfach keine *.exe ausführen, so
>>> lange nur geringste Zweifel bestehen. ;-)

>> Klar - "solange nur geringste Zweifel bestehen" ...
>> Also nehme ich einen wohlklingenden Namen für die Datei. Ist ein
>> simples und (wie die Vergangenheit zeigt) oft gut funktionierendes
>> Verfahren, "Brain 1.0" zu überlisten.

> Das dürfte doch aber nur eine Betaversion sein. :-)

"Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn
jedermann ist überzeugt, dass er genug davon habe." (Descartes)

> Ich habe mich nicht gegen VirenschutzSoftware ausgesprochen.

Ok ...

Viele Gruesse!
Helmut

Lars Gebauer

unread,
Jan 17, 2012, 8:54:27 AM1/17/12
to
* Mathias Fuhrmann:
> Mein Mailprogramm läßt laut meinen eingestellten Filtern das
> Ausführen einer Anlage nur für bestimmte, ungefährliche Dateien zu.

Eine gute Idee! Welche wären denn das bzw. wie erkennt man sie?

> Das Öffnen/Ausführen ist ansonsten mit einigen 'bewußten' Klicks
> verbunden. Wenn ich das dann ohne Überprüfung mache,

Und wie überprüfst Du?
Message has been deleted

Lars Gebauer

unread,
Jan 17, 2012, 12:02:14 PM1/17/12
to
* Mathias Fuhrmann:
> Lars Gebauer schrieb:
>> * Mathias Fuhrmann:
>>> Mein Mailprogramm läßt laut meinen eingestellten Filtern das
>>> Ausführen einer Anlage nur für bestimmte, ungefährliche Dateien zu.
>
>> Eine gute Idee! Welche wären denn das bzw. wie erkennt man sie?
>
> Ich bin kein Fachmann ...., bei meinem exotischen Mailprogramm habe
> ich für
> *.pdf;*.do;*.xl;*.vb;*.pl;*.rb;*.chm;*.ws;*.php;*.zip
> nur Warnung eingestellt, wenn ich auf die Anlage klicke.
> Und für
> *.exe;*.com;*.bat;*.cmd;*.pif;*.lnk;*.scr;*.shs;*.jar;*.reg;*.scr;*.js
> ist die Ausführung gesperrt, muß diese Anlagen erst auf den Desktop
> ziehen pp.

Hm. Und /dann/? Will sagen, irgendwann mußt Du ja eine Entscheidung treffen.

> Die Endungen habe ich nur als Beispiel von irgendwo übernommen,

Ob das mit den Endungen so eine gute Idee ist ...

>>> Das Öffnen/Ausführen ist ansonsten mit einigen 'bewußten' Klicks
>>> verbunden. Wenn ich das dann ohne Überprüfung mache,
>
>> Und wie überprüfst Du?
>
> Ich werfe die Datei in eine Virenüberprüfseite (www.virustotal.com
> z.B.),

Hatten wir gerade hier. Funktioniert nicht (zuverlässig).

> frage beim Absender nach

Der weiß doch noch nichtmal, was ein Virus ist. (letztes Jahr hat ein
Bekannter hier wochenlang Würmer per USB-Stick verteilt. Es hat ihn
schlicht nicht interessiert.)

> oder schaue mit dem Hex-Editor rein.

Respekt, Respekt. Wenn Du Dir anschließend halbwegs sicher bist ...

Christian Winther

unread,
Jan 17, 2012, 12:11:07 PM1/17/12
to
Am 16.01.2012 19:29, schrieb Christian Winther:
> Achtung,
>
> hier ist gerade auf einem sonst nicht genutzten T-Online-Account eine
> Mail mit Anhang aufgeschlagen.
>
> Betreff: Rechnung Januar
>
> Anhang: Rechnung-Januar.exe (147 KB)
>
> Symbol der Exe wie ein PDF-Dokument.
>
> Das Ganze ist mit Sicherheit ein Schädling.
>
> Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).
>
[...]

Nachtrag:

Mittlerweile erkennen 7 von 43 Scannern auf www.virustotal.com das Ding
(gerade nochmal eingeworfen).

Microsoft: Worm:Win32/Dorkbot.A

NOD32: a variant of MSIL/Injector.SD

Kaspersky: Trojan.Win32.Inject.coey

HTH CW

Helmut Hullen

unread,
Jan 17, 2012, 12:41:00 PM1/17/12
to
Hallo, Lars,

Du meintest am 17.01.12:

[Virenscanner]

>>> Und wie überprüfst Du?

>> Ich werfe die Datei in eine Virenüberprüfseite (www.virustotal.com
>> z.B.),

> Hatten wir gerade hier. Funktioniert nicht (zuverlässig).

Meine bisherigen Erfahrungen mit den Viren, die ich per E-Mail erhielt:
nach etwa 4 Stunden haben vielleicht 10 der 20 Scanner bei jotti.org den
Virus erkannt, einige brauchten mehr als 1 Tag, bis sie ihn erkannten.

Aber: nicht jeder Virendreck (o.ä.) kommt als E-Mail-Anhang an.
Anscheinend sind derzeit Mechanismen im HTML-Umfeld erheblich beliebter.

Viele Gruesse!
Helmut

Oliver Schwickert

unread,
Jan 17, 2012, 3:05:19 PM1/17/12
to
Uwe Premer wrote:
> Interessant ist, dass der T-Online-eigene Postfachvirenschutz den Schädling
> auch noch nicht in seiner Liste hat:

Weil er möglicherweise auf Avira basiert?

> | X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT
>
> Immerhin wird da im Header vor einem "gefährlichen Anhang" gewarnt.

Das Team schrieb AFAIR in den internen T-Online-Gruppen mal, daß
"DANGEROUS, ATTACHMENT" bei jeder Mail mit ausführbarem Anhang gesetzt wird.
0 new messages