Spam oder Virus?

Heute hatte ich wieder mal einen der klassischen Anflüge von Spam und Ähnlichem in meiner Mailbox gefunden, was mir wieder einmal ganz deutlich gezeigt hat, wie sehr und oft Microsoft Outlook als Eingang für Viren und anderen Schrott herhalten muss:

Microsoft Outlook Notification for the xxxx@xxxx.xx

Support [xxxx@xxxx.xx]

Sent :Thu 15/10/2009 06:38

To xxxx@xxxx.xx

Attachment install.zip (12kb)

You have (6) New Message from Outlook Microsoft

– Please re-configure your Microsoft Outlook Again.

– Download attached setup file and install.

Im Anhang eine kleine ZIP Datei, welche mal mit Sicherheit nicht die neue Fotobuch Software von CeWe sein kann, auf die ich schon eine Weile warte. Obwohl diese Nachricht in X-Facher Ausführung in meiner Mailbox ist, entlockt sie mir doch ein gewisses Grinsen – vor allem weil ich mit Thunderbird und KMail meine Mails bearbeite.

Wie bei solchen Viren-Mails steht leider nie dabei, was nun tatsächlich passiert und was man zu erwarten hat. Also beginnen wir einmal das Paket anzuschauen:

Listing archive: install.zip
   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2009-10-15 11:38:42 ....A        28672        21167  install.exe
------------------- ----- ------------ ------------  ------------------------
                                 28672        21167  1 files, 0 folders

Der Inhalt ist eine einfache EXE, mit welcher wir natürlich mehr anfangen können – wie zum Beispiel einen Virenscanner darauf loslassen. Zum aktuellen Zeitpunkt meint jedoch ClamAV noch, dass das Ding ungefährlich sei. Also muss ich wohl selbst Hand anlegen und nach Spuren suchen.

Nach ein bisschen Herumgestochere im File merke ich, dass diese Exe auch nur ein Container ist und es womöglich einfacher wäre, diesen ebenfalls auszupacken. Unser Alleskönner 7-Zip macht es wieder möglich:

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2006-01-21 22:17:57               2606         3072  .text
2006-01-21 22:17:57               5293         5632  .rdata
2006-01-21 22:17:57              53248            0  .data
2006-01-21 22:17:57                592          512  .tls
2006-01-21 22:17:57              18138        18432  .edata
------------------- ----- ------------ ------------  ------------------------
                                 79877        27648  5 files, 0 folders

Und voilà, wir haben den Inhalt. Doch was ist was? Filemagic macht eine grobe Bestimmung möglich:

data: empty
edata: data
rdata: data
text: VISX image file
tls: data

Das Vorkommen der Zeichenkette „FuC1.FuC1.FuC1“ sollte ab hier schon jeden Menschen davon überzeugen, dass das Ding nichts Gutes bringt und am Ende unserem System schaden könnte und dies auch tun würde…

Das Beste ist also, solche Nachrichten zu ignorieren und zu löschen.

Author:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert