{"id":1020,"date":"2009-10-15T11:48:57","date_gmt":"2009-10-15T10:48:57","guid":{"rendered":"http:\/\/my.stargazer.at\/?p=1020"},"modified":"2009-10-15T10:50:57","modified_gmt":"2009-10-15T09:50:57","slug":"spam-oder-virus","status":"publish","type":"post","link":"https:\/\/my.stargazer.at\/de\/2009\/10\/15\/spam-oder-virus\/","title":{"rendered":"Spam oder Virus?"},"content":{"rendered":"

Heute hatte ich wieder mal einen der klassischen Anfl\u00fcge von Spam und \u00c4hnlichem in meiner Mailbox gefunden, was mir wieder einmal ganz deutlich gezeigt hat, wie sehr und oft Microsoft Outlook als Eingang f\u00fcr Viren und anderen Schrott herhalten muss:<\/p>\n

Microsoft Outlook Notification for the xxxx@xxxx.xx<\/p>\n

Support [xxxx@xxxx.xx]<\/p>\n

Sent :Thu 15\/10\/2009 06:38<\/p>\n

To xxxx@xxxx.xx<\/p>\n

Attachment install.zip (12kb)<\/p>\n

You have (6) New Message from Outlook Microsoft<\/p>\n

– Please re-configure your Microsoft Outlook Again.<\/p>\n

– Download attached setup file and install.<\/p><\/blockquote>\n

Im Anhang eine kleine ZIP Datei, welche mal mit Sicherheit nicht die neue Fotobuch Software<\/a> von CeWe sein kann, auf die ich schon eine Weile warte. Obwohl diese Nachricht in X-Facher Ausf\u00fchrung in meiner Mailbox ist, entlockt sie mir doch ein gewisses Grinsen – vor allem weil ich mit Thunderbird und KMail meine Mails bearbeite.<\/p>\n

Wie bei solchen Viren-Mails steht leider nie dabei, was nun tats\u00e4chlich passiert und was man zu erwarten hat. Also beginnen wir einmal das Paket anzuschauen:<\/p>\n

\n
Listing archive: install.zip\r\n   Date      Time    Attr         Size   Compressed  Name\r\n------------------- ----- ------------ ------------  ------------------------\r\n2009-10-15 11:38:42 ....A        28672        21167  install.exe\r\n------------------- ----- ------------ ------------  ------------------------\r\n                                 28672        21167  1 files, 0 folders\r\n<\/pre>\n<\/blockquote>\n
Der Inhalt ist eine einfache EXE, mit welcher wir nat\u00fcrlich mehr anfangen k\u00f6nnen – wie zum Beispiel einen Virenscanner darauf loslassen. Zum aktuellen Zeitpunkt meint jedoch ClamAV noch, dass das Ding ungef\u00e4hrlich sei. Also muss ich wohl selbst Hand anlegen und nach Spuren suchen.<\/p>\n
Nach ein bisschen Herumgestochere im File merke ich, dass diese Exe auch nur ein Container ist und es wom\u00f6glich einfacher w\u00e4re, diesen ebenfalls auszupacken. Unser Allesk\u00f6nner 7-Zip<\/a> macht es wieder m\u00f6glich:<\/p>\n
\n
   Date      Time    Attr         Size   Compressed  Name\r\n------------------- ----- ------------ ------------  ------------------------\r\n2006-01-21 22:17:57               2606         3072  .text\r\n2006-01-21 22:17:57               5293         5632  .rdata\r\n2006-01-21 22:17:57              53248            0  .data\r\n2006-01-21 22:17:57                592          512  .tls\r\n2006-01-21 22:17:57              18138        18432  .edata\r\n------------------- ----- ------------ ------------  ------------------------\r\n                                 79877        27648  5 files, 0 folders\r\n<\/pre>\n<\/blockquote>\n
Und voil\u00e0, wir haben den Inhalt. Doch was ist was? Filemagic macht eine grobe Bestimmung m\u00f6glich:<\/p>\n
data:  empty
\nedata: data
\nrdata: data
\ntext:  VISX image file
\ntls:   data\n<\/p><\/blockquote>\n
Das Vorkommen der Zeichenkette „FuC1.FuC1.FuC1“ sollte ab hier schon jeden Menschen davon \u00fcberzeugen, dass das Ding nichts Gutes bringt und am Ende unserem System schaden k\u00f6nnte und dies auch tun w\u00fcrde…<\/p>\n
Das Beste ist also, solche Nachrichten zu ignorieren und zu l\u00f6schen.
\n<\/p>","protected":false},"excerpt":{"rendered":"
Heute hatte ich wieder mal einen der klassischen Anfl\u00fcge von Spam und \u00c4hnlichem in meiner Mailbox gefunden, was mir wieder einmal ganz deutlich gezeigt hat, wie sehr und oft Microsoft Outlook als Eingang f\u00fcr Viren und anderen Schrott herhalten muss: Microsoft Outlook Notification for the xxxx@xxxx.xx Support [xxxx@xxxx.xx] Sent :Thu 15\/10\/2009 06:38 To xxxx@xxxx.xx Attachment install.zip (12kb) You […]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[601,54,476,41],"class_list":["post-1020","post","type-post","status-publish","format-standard","hentry","category-security","tag-malware","tag-spam","tag-virus","tag-windows"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1020","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=1020"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1020\/revisions"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=1020"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=1020"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=1020"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}