Heute hatte ich wieder mal einen der klassischen Anflüge von Spam und Ähnlichem in meiner Mailbox gefunden, was mir wieder einmal ganz deutlich gezeigt hat, wie sehr und oft Microsoft Outlook als Eingang für Viren und anderen Schrott herhalten muss:
Microsoft Outlook Notification for the xxxx@xxxx.xx
Support [xxxx@xxxx.xx]
Sent :Thu 15/10/2009 06:38
To xxxx@xxxx.xx
Attachment install.zip (12kb)
You have (6) New Message from Outlook Microsoft
– Please re-configure your Microsoft Outlook Again.
– Download attached setup file and install.
Im Anhang eine kleine ZIP Datei, welche mal mit Sicherheit nicht die neue Fotobuch Software von CeWe sein kann, auf die ich schon eine Weile warte. Obwohl diese Nachricht in X-Facher Ausführung in meiner Mailbox ist, entlockt sie mir doch ein gewisses Grinsen – vor allem weil ich mit Thunderbird und KMail meine Mails bearbeite.
Wie bei solchen Viren-Mails steht leider nie dabei, was nun tatsächlich passiert und was man zu erwarten hat. Also beginnen wir einmal das Paket anzuschauen:
Listing archive: install.zip Date Time Attr Size Compressed Name ------------------- ----- ------------ ------------ ------------------------ 2009-10-15 11:38:42 ....A 28672 21167 install.exe ------------------- ----- ------------ ------------ ------------------------ 28672 21167 1 files, 0 folders
Der Inhalt ist eine einfache EXE, mit welcher wir natürlich mehr anfangen können – wie zum Beispiel einen Virenscanner darauf loslassen. Zum aktuellen Zeitpunkt meint jedoch ClamAV noch, dass das Ding ungefährlich sei. Also muss ich wohl selbst Hand anlegen und nach Spuren suchen.
Nach ein bisschen Herumgestochere im File merke ich, dass diese Exe auch nur ein Container ist und es womöglich einfacher wäre, diesen ebenfalls auszupacken. Unser Alleskönner 7-Zip macht es wieder möglich:
Date Time Attr Size Compressed Name ------------------- ----- ------------ ------------ ------------------------ 2006-01-21 22:17:57 2606 3072 .text 2006-01-21 22:17:57 5293 5632 .rdata 2006-01-21 22:17:57 53248 0 .data 2006-01-21 22:17:57 592 512 .tls 2006-01-21 22:17:57 18138 18432 .edata ------------------- ----- ------------ ------------ ------------------------ 79877 27648 5 files, 0 folders
Und voilà, wir haben den Inhalt. Doch was ist was? Filemagic macht eine grobe Bestimmung möglich:
data: empty
edata: data
rdata: data
text: VISX image file
tls: data
Das Vorkommen der Zeichenkette „FuC1.FuC1.FuC1“ sollte ab hier schon jeden Menschen davon überzeugen, dass das Ding nichts Gutes bringt und am Ende unserem System schaden könnte und dies auch tun würde…
Das Beste ist also, solche Nachrichten zu ignorieren und zu löschen.