Mail(s) mit infiziertem Anhang
Heute morgen bekam ich mal wieder eine eMail (was ein Wunder^^), genauer am 02.09.2012 um 02:03 Uhr. Die Mail kam angeblich von "info.dienst@alice-dsl.net" mit dem Betreff "Mahnung Ihrer Bestellung 5430103813".
Der Header sah wie folgt aus:
X-Apparently-To: ***********@yahoo.de via 188.125.83.108; Sun, 02 Sep 2012 00:02:37 +0000
X-YahooFilteredBulk: 88.44.60.9
Received-SPF: none (domain of alice-dsl.net does not designate permitted sender hosts)
X-YMailISG: 9_fGXGAWLDs9mPuU4M62czQCwmMLKMN7YB1aEu4be2pVBE8f
pSFgaiUlHx4L0f_98VMW_F0j9Nc.TjMgT6uMt4BQAW4HqogV9h_JrDy50zDc
5aoyL2Njywfq8QRSldaypjcyYNWaM5mPpxZ.y7eiFx8R6rGKM0qLRTa5bQUc
6YYPtL2EwSZ8dh8LNuNWyskpBvihAQE2aPYULO2PgdWQUys1DPBJMACNXkRm
EmIacvP5d7sgqmgFmViDjFHDOMIymtaK8Tx80ZC9fG5VuPBQwnkZ5oKZ0.Ax
aMQfq7H7i_ppISezlHanSAopuYfknuN7jOwyqETdBeiSAJxq1lzQ9hv8OYT9
NexCyUMfX8uP7S8DtLuEgQd_yL90lxF3EEV5dUQe97c9fgdbN3p4PntMixhW
P7q3YeD5QRqHPEjbh8gDLii7T6lhmLEj52O4F71j8Y_nurjly9YCnGdHDCf8
8LuOONtZQ43XZN6SDU_TXhdmsXMvGf1FebZeEl72Z1MZjTvCfctkHDhHGf29
u9a_x7vFoH6ZjOKwHdbEFC21BWVrhif5nhkn4eIXpaSYXv0HGUhnWv8gtDgu
T2b7VRRRtmfr15eE7bG8lq7.qPMjkZwtkVFwKTt4Io0hFJVh1wfzoNQzsPw1
X_cCjxDHeoGO0CIvlYDHqz0YgA6HXGYElOS_Ar_rIKD2NHLJwyNwirpdAk9x
Hfgnq1vmhfq04QlCeifW11_NUH_S9vfrUZYmPxvNlByY2fBBjZS_M41o6fa8
dNiFkxJ1g6q9eDy9CG_XQDr32Imm_J3NI1C1VVIRJgGX_k08GoB6fHUdbsBE
lCcAvNF376oKFGVLNAiRxkVW4IFQJ5cSezRCJVCAzb9ZMdhAiDTKm4EGNXM4
W_dGT3pWk.WRsSh7BUsw8yeRYwKFPovx3HBCM4sEnxLHUQsuZ5sXnPjC6Ch.
cHtmmx20vZo8__OyoX_B24.JZ7SUnBQ9.3ZrinL6fen8z4WC3sORNvVOTwqo
KLo44q3nJIvbwfJ7qdOjPyO7GJK.0be7NEPwq.BJn0ICcY4l78MA5q93nZIo
59lNrPUNNdrJWpoVhiZmSKXcD9ogGG2..csaMfrjyTFdvd_HnP8wvX1KPbRe
ibDCapPFbqc2NW0gTUysQBF2U7fMxcEIe7bBGlLiIWgeB9EqHcsovP..URVu
1GSBFWzz86N1TV14Rrxv_.FOIR2G08XO9Ra8WOyRMS5W1y6ciqqdH9H.NoGU
yo45dWiQGDmR.3JJ1iLxNfQMt6KWBiUMOE1ih3.7EJoff3FWd6RfkDHpQUC5
R4djpQ--
X-Originating-IP: [88.44.60.9]
Authentication-Results: mta1039.mail.ird.yahoo.com from=alice-dsl.net; domainkeys=neutral (no sig); from=alice-dsl.net; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO smtp-out02.alice-dsl.net) (88.44.60.9)
by mta1039.mail.ird.yahoo.com with SMTP; Sun, 02 Sep 2012 00:02:37 +0000
Received: from out.alice-dsl.de ([192.168.125.60]) by smtp-out02.alice-dsl.net with Microsoft SMTPSVC(6.0.3790.3959);
Sun, 2 Sep 2012 02:02:31 +0200
Received: from mainserver.aii.local ([74.7.120.153]) by out.alice-dsl.de with Microsoft SMTPSVC(6.0.3790.3959);
Sun, 2 Sep 2012 02:01:55 +0200
MIME-Version: 1.0
Date: Sat, 01 Sep 2012 17:00:10 -0700
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.40.6639.0487
Subject: [Bulk] Mahnung Ihrer Bestellung 5430103813
From: info.dienst@alice-dsl.net
To: ***********@yahoo.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_99b_c9f1_266ef4a2.75e84119_.MIX"
Message-ID: <OUTLOOK-IDM-a53cfade-297d-7336-6524-246938cfebe7@mainserver.aii.local>
X-OriginalArrivalTime: 02 Sep 2012 00:01:55.0265 (UTC) FILETIME=[29E44B10:01CD889E]
X-EsetId: 6D50A7235B115B31361DFE
Wenn ich mich also nicht täusche, wurde die Mail über ein "Microsoft Outlook Express 6.40.x" über die Alice-DSL Server gesendet. Dies würde bedeuten das im schlimmsten Fall bei Alice-DSL ein Sicherheitsleck herrscht(e) und jemand das Kennwort dieses "info.dienst@"-Accounts kennt und darüber SPAM dieser Art versendet. Nur das dieser SPAM auch noch schädlichen Inhalt hat und nciht einfach nur nervt!
In dieser Mail steht dann (bei mir) folgender Text:
Hallo,
bei der Prüfung der Rechnungen stellten wir fest, dass Sie die Rechnung Nummer 8126758.2012 noch nicht beglichen haben.
Artikel: Dell GB1K 1796,94 Euro
Hiermit verpflichten wir Sie erneut, Ihre nicht bezahlte Forderung zu bezahlen und damit weitere Inkasso-Büro Kosten einzusparen.
Wir sehen uns gezwungen Ihnen 20,00 Euro darüber hinaus zu der noch offenen Forderung als Mahnung in Rechnung stellen.
Wir bitten Sie, die nicht bezahlten Kosten bis zum 05.09.2012 auf das angegebene Konto zu überweisen.
Der Zahlschein und die Lieferadresse liegen diesem Brief als Beilage bei.
Mit freundlichen Grüßen
KuhnOnline GmbH Aulendorf
Leiter: Frank Lehmann
Steuer-Nummer: DE469889099
Natürlich hat diese Datei auch einen Anhang mit Namen "Mahnschreiben.zip". Dort enthalten ist eine "Mahnschreiben.txt". Diese hat aber noch eine versteckte Dateiendung und heißt in Wirklichkeit "Mahnschreiben.txt.com".
Wie ich mit Windows 8 Enterprise (64-bit) 90-Tage TRIAL in einer virtuellen Maschine erfolgreich testen konnte, wird ohne weiteres der Inhalt erkannt und die Gefahr gebannt - siehe Inhalt der Textdatei NACH dem entpacken der ZIP-Datei:
FILE QUARANTINED
----------------
Microsoft Antigen for Exchange removed a file since it was found to be infected.
File name: "Mahnschreiben.zip->Mahnschreiben.com"
Virus name: "VirTool:Win32/DelfInject.gen!CP"
Eine gute Leistung wie ich finde, denn das Teil lädt wie viele bekannte Webseiten seid Ende April/Anfang Mai verkünden im Regelfall Malware nach und im schlimmsten Fall (und auch häufigsten) noch Rootkits/BackDoors.
Danach ist also das System NICHT mehr sicher, Passwörter sind ggf. entwendet worden und es Bedarf unbedingt einer Neuinstallation des Systems.
Im Idealfall hat man zuvor ein Backup gemacht gehabt, so das die Daten nicht komplett verloren sind. Auf Umwegen kommt man über den "Abgesicherten Modus" mit einer vorherigen Bereinigung auch noch an die aktuellen DAten. Dabei ist aber äußerste Vorischt walten zu lassen!
Ich werde noch weitere Tests machen mit einem gepatchten, sonst aber nur durch Microsoft Security Essentials (MSE)geschützen virtuellen WindowsXP (32-bit) machen.
Ich vermute das dort der Injector seine Arbeit verichten kann, trotz MSE. Mal schauen.
Update (02.09.2012 / 15:20 Uhr):
Auch unter Windows XP Professional (32-bit) mit ServicePack 3, allen Microsoft-Updates, aktuellem Adobe Reader 10.1.4, Adobe Flash 11.x und JAVA 7 Update 7 und aktuellstem MSE - wird der Schädling wie unter Windows 8 ebenfalls sofort erkannt und in Quarantäne verschoben.
Weitere Informationen zum Schädling:
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)