[razor]

Code:

INTERNET ONLINE DRUGSTORE

One of the biggest pharmacy companies!

You can find any product. You can have the body of your dream without going to a gym. You can get any product for your wife or husband. Our physicians are U.S. licensed. Our support center can answer all your questions. We do not spend anything on marketing, there are no taxes to be paid as the product come into the country unregistered, the manufacturer is located in an offshore zone and the production costs are way lower.

  We have everything to make your life better:

  -  best quality drugs

  -  special Internet prices

  -  large selection of goods from Anti-Acidity to Antibiotics, Anti-herpes, Muscle relaxant, etc.

  -  fast worldwide shipping

  -  friendly customer support


Come and look here: http://heldmore.com/

bin nicht sicher ob das ein virus ist.
aber sicher ist sicher.
mfg

razor

[Ritley]

Über ICQ werden von einem Bot namens Dude Viren verschickt. Einige Freunde von mir sind bereits betroffen und auch bei mir selbst hat man es bereits probiert.

Man wird gefragt, ob man nicht bei der Suche nach einer Freundin helfen kann, die irgendwann irgendwie verloren ging. Klickt man auf das Bild, hat man schon die Viren auf dem PC!

[Novizethme]

Über ICQ werden von einem Bot namens Dude Viren verschickt. Einige Freunde von mir sind bereits betroffen und auch bei mir selbst hat man es bereits probiert.

Man wird gefragt, ob man nicht bei der Suche nach einer Freundin helfen kann, die irgendwann irgendwie verloren ging. Klickt man auf das Bild, hat man schon die Viren auf dem PC!

Folgende Bots haben sich bisher noch gemeldet:
baldur
unnamed
rox

Dann noch zwei Acc-Hacks bei anderen leuten in meiner Kontaktliste.

Diese meldung kommt in englisch an, einfach ignorieren und diese o.g. benutzer nicht adden.

[NicoH]

Ich hab mal ne Frage:

Und zwar kommt es bei mir in letzter Zeit häufiger vor, dass ich z.b. auf Imageshack vom "Guard" des Avira Antivir Personal Edition einen Trojaner/Virus gemeldet bekomm. Nach meinen Programm heißt das Ding HEUR/Exploit.HTML.
Die Meldung das dieser Schädling auf meinen PC zugreifen will beim Surfen bekomme ich in letzter Zeit öfters. Auf meinen PC ist nix zu finden. Muss ich mir irgendwelche Sorgen machen? O.o

[Viridian]

Mein Antivir springt in letzter Zeit auch desöfteren an, genau wie bei NicoH, und zwar bei Myspace, mittlerweile bringt der ziemlich oft, dass bei Seiten von Künstlern plötzlich irgendwas auf meinem PC wäre und fragte mich, was zu tun wäre, entweder In Quarantäne verschieben, Zugriff verweigern oder Ignorieren. Was ist das?

Hier mal ein Bild davon, mittlweile bekomm ich hunderte von diesen Fenstern, selbst wenn ich wieder auf die Suchergebnisse komme:

[Bild: upload.cgi?a=show&file=616e74697669722e4a5047]

[Ealys]

Ich hab das gleiche Problem

Hab gerade 4 Meldungen zu HEUR/Exploit.HTML bekommen
Alle 4x in den Temporary Internet Files.

Ich hab das erstmal nur blocken lassen und jetzt die Temps gelöscht. Reicht das aus?

LG

[Tornum]

selber schuld wenn ihr antivir benutzt steigt um auf ein andres prog das sachen da findet wo auch wirklich welche sind

[meditate]

nunja, ein virus kann immer irgendwelche lücken finden. sicher ist niemand. den letzten großen virenbefall gabs in meinem bekanntenkreis bei einem, der ne hardwarefirewall hat und außerdem norton benutzt.

bevor ihr hier hochnäsig werdet will ich nur mal darauf hinweisen, dass IMMER zuerst der virus da ist und dann erst die virenerkennung. dazwischen liegt immer ein zeitfenster, dass für einen befall schon ausreichen kann.

ansonsten gibts zu viren einen thread im pc-forum. dort gibts ggf. hilfe

[Chocwise]

selber schuld wenn ihr antivir benutzt steigt um auf ein andres prog das sachen da findet wo auch wirklich welche sind

Moment, selbsternannter Meister der Internetsicherheit.
AntiVir handelt da sehr gewissenhaft. Es blockiert hier einen sehr mächtigen Exploit der es einem Angreifer mit relativ wenig Aufwand ermöglicht die Logindaten von Myspace Usern abzugreifen. Ich bin schon über Listen gestolpert, die im Internet getauscht werden, welche zig-tausende gehortete Zugangsdaten von Myspace-Usern enthalten.
Durch die Möglichkeit HTML auf Myspace-Seiten zu verwenden, ist es möglich u.A. den "Home"-Link zu verändern und durch eine eigene Login-Seite zu ersetzen, die, natürlich, die Logindaten mitloggt. Und das mit einfachstem HTML+CSS. Bzw +PHP, wenn man das Loggen ansich mit einbezieht. Den Proof-of-Concept Code link ich nu mal nicht, sonst kommen noch mehr Leute auf dumme Gedanken. Aber es ist extrem einfach, glaub mir.

Bitte nochmal informieren, bevor du mit "" um dich schmeißt.

Wobei ich zustimme dass AntiVir, wie andere Virenscanner auch, nur Flickwerk/Provisorien sind. Der beste Schutz sind immernoch das eigene Hirn und Linux.

[meditate]

der hinweis auf linux ist toll, nur auf einer pc-spieleseite?

[Chocwise]

der hinweis auf linux ist toll, nur auf einer pc-spieleseite?

Ich könnt mich ja bei der WoP mit einer neuen Gamesite bewerben die das komplexeste und spannendste Game ever behandelt: Linux.

Hajo Spaß beiseite. Linux schließt ja nicht zocken aus. Man installiert einfach Linux parallell zu Windows, wenn man denn PC-(und nicht Konsolen-)Zocker ist. Dem Windows nimmt man dann die Fähigkeit sich mit dem INet zu verbinden (sicherheitsbedingt) und zockt damit, für alles andere nutzt man halt Linux... außer natürlich sich mit Viren auseinander zu setzen, der "Spaß" entgeht einem mit diesem System "leider".

[Chocwise]

Hier auch was Offizielleres als meinen Post zu der Sache: http://www.theinquirer.de/2007/11/09...infalltor.html

[blutfliege1]

*mal Thread ausbuddel*

[Bild: ujGQt62UEQkUnbenannt.PNG]


Ist zwar schon ein paar Tage älter, aber posten tue ich es trotzdem.

Auffällig alleine die Rechtschreibfehler in dieser Mail (rot) und den letzten Satz (grün).

Zudem ist es einwandfrei getarnt (nämlich ger nicht ) dass diese Rechnung eine .exe ist und man nie weiß ob es nur ein Fake ist, oder ein Virus oder sonst was.
Immerhin weiß man nicht (und man will es auch gar nicht wissen) was sich hinter dieser .exe wirklich versteckt.

Sollte so ne Mail (Betrag variabel) in den Posteigang kommen, einfach löschen... genau so wie andere Mails wo man Produkte gekauft/bestellt hat und man seltsamerweise gar nichts mehr davon weiß...

[blutfliege1]

*schieb*

Gibt mal wieder was Aktuelles und ne Massenaussendung an gefälschten Mails mit Viren im Anhang.
Hatte davon einige in der Post in den vergangenen Tagen...


Derzeit hört man es von allen Ecken, ein neuer Virus, welcher sich als Informationsschreiben von DHL oder UPS tarnt treibt derzeit sein Unwesen und befällt trotz aktuellen Virenscanner die Rechner!! Bzw. wird er zum Teil auch erkannt, aber leider zu spät und der Fake Antivirus und das Backdoor wurde schon installiert und versucht munter weitere Instanzen von sich zu installieren!! Wie man den Befall erkennen kann, habe ich etwas weiter unten beschrieben!

So sieht die Mail von DHL aus!

Diese kann leider auch etwas variieren!

Betreff: DHL delivery problem NR xxxxx
Dear customer!
The courier service was not able to deliver your parcel at your address.
Cause: Mistake in address. You may pickup the parcel at our post office personally.
The delivery advice is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox!
Thank you.

DHL Delivery Services.


Anhang: DHL_Label_Nr1875.zip

Eine aus meinem Postfach:

Problem NR 61668.
Dienstag, 20. April, 2010 09:30 Uhr

Von: "UPS Manager Tracey Darden" <delivery@ups.com>
An: xxx.xxx@xxx.xx

Die Nachricht enthält Anhänge
1 Datei (44KB) (UPC-Invoice xxx.zip)

Hello!

Unfortunately we failed to deliver the package you have sent on the 26th of January in time
because the addressee's address is inexact.
Please print out the invoice copy attached and collect the package at our office.

United Parcel Service of America.

Datum wird immer verschieden sein aber der Anhang ist immer derselbe nur eben mit ner anderen Nummer.


Versteckter Virus:

TrojanSPM/LX – Generic PWS.ej – FakeAlert-KS.a – JS/FakealertKryptik




Wie bemerkt man den Virus?
- roter Kreis mit X in der Taskbar
Meldung:
Click here to protect your computer from spyware
Your computer is infected Windows has detected an infection of spyware! It´s recommended to use special antispyware tools to prevent data loss. Windows wil now download and install the most up-to-date antispyware for you.
- Drucker werden gelöscht


So bekommt ihr den Viren / Maleware befall wieder los!

Benötigte Software:
Malwarebytes Anti-Malware
Norman Malware Cleaner


Diese Software kopiert ihr nun am einfachsten auf Euer Laufwerk C: oder an eine Stelle an welcher ihr die Software wieder einfach findet!!
Nun startet ihr den PC neu und drückt beim Start des Rechners die F8 Taste. Danach sollte Euch ein Menü gezeigt werden, über welchen ihr den Rechner im abgesicherten Modus starten könnt.
Startet nun den Rechner im “abgesicherten Modus”!
Ist der Rechner hoch gefahren führt ihr nun als erstes das Tool von Malwarebytes aus und drückt im Auswahlmenü den Punkt “Quick Scan”! Jetzt wird der Rechner auf Maleware und sonstige Schadsoftware gecheckt. Nachdem der Suchlauf durchgelaufen ist, bekommt ihr eine Liste mit den Bedrohungen angezeigt! Diese könnt ihr mit dem Button “Entfernen” löschen! Danach ist oft ein Neustart notwendig! Diesen ausführen und den Rechner erneut im abgesicherten Modus starten! Jetzt führt ihr den Norman Maleware Cleaner aus! Dieser 2te check ist nicht immer notwendig, jedoch habe ich in der Praxis festgestellt, das bei diesem Virus oft noch andere folgen, welche evt. über HTML Seiten nachgeladen werden! Also einfach nochmals drüber laufen lassen! Kostet Euch außer ein paar Minuten Zeit nichts!! [Bild: icon_wink.gif]
Ich habe diese Reparatur auch schon ohne den abgesicherten Modus durch geführt, da der Rechner benötigt wurde! Auch dieses hat ohne Probleme funktioniert! Ich persönlich ziehe jedoch den abgesicherten Modus vor!
Habt ihr beide Tools ausgeführt, sollte Euer Rechner wieder clean sein!



Ich hoffe die Links sind gestattet, da sie aus dem Beitrag stammen.

[blutfliege1]

*wieder schiebt*

Gibt zZ wieder eine große Viren-, Maleware- und Spamflut bestehend aus:

.) Informationen zu einem bestellten Paket welches nicht zugestellt werden konnte.
Dabei solle man bitte die Beilage öffnen um sich zu versichern, dass das Paket unterwegs ist, aber nicht zugestellt werden konnte.
Betrifft "DHL" und "Fed-EX"

mögliche Betreffzeilen:

DHL Express Delivery ....
[kein Betreff]
Nicht Zustellbar
Bestellung #....

In diesen Mails befindet sich fast immer ein Anhang mit dem Namen "Dokument", "Rechnung" oder "Bestellung".
Der Anhang besteht entweder aus .xls oder .zip.


Dann gibt es noch eine für mich relativ neue massive Versandart von Viren, Maleware usw.


.) LOVECARD 4 YOU

Diese Mails enthalten jeweils eine Anlage mit dem Betreff "lovecard... .bat" (ka. was .bat ist zur Info)

Der Absender ist fast immer derselbe nur ändert sich maximal die Zahl im Namen:

LOVECARD 58 FOR YOU
LOVECARD 16 FOR YOU
LOVECARD 41 FOR YOU
LOVECARD 93 FOR YOU
LOVECARD 51 FOR YOU
LOVECARD 66 FOR YOU
...
...
...

Absender diverse Mailadressen wie zB: manager64 @ lovecard . ge

Ebenfalls durchnummeriert mit der jeweiligen Ziffer des "Managers"
Sollte ich mich nicht irren ist .ge georgien.

Diese Mails einfach löschen wenn sie kommen und die Anlage nicht öffnen.

Bei den Lovecards trudeln pro Tag zwischen 3 und 20 Mails ein.


Grüße

bf

[Lookbehind]

...
Diese Mails enthalten jeweils eine Anlage mit dem Betreff "lovecard... .bat" (ka. was .bat ist zur Info)
...

Batch-File
Eine Art Shell-Script auf Windows-Basis.

[blutfliege1]

danke @ Lookbehind!


----------------------------


kleine Ergänzung:


Die Paketmasche (z.B. USPS) wird aktuell wieder extrem durchgezogen:
Bis zu 8 Mails pro Tag ist derweil der Rekord.


Standardvariante des Versenders als Beispiel:

USPS Delivery Confirmation 156924 Dienstag, 28. Juni, 2011 10:41 Uhr


Von:

"USPS TEAM 63" <support . 80 @ usps . com>



An:

[meine Mailadresse]

Die Nachricht enthält Anhänge


2 Dateien (72KB) | bnfyl.jpg; usps-191570.bat



Hello!
DEAR CUSTOMER , We were not able to delivery the post package
Please print out the invoice copy attached and collect the package at our department
With Respect To You , Your USPS Services

------------------------


Und gleich noch eins, womit man geflutet wird:

New Project: Love Game!!!

Mittwoch, 29. Juni, 2011 11:04 Uhr


Von:

"New Game 32" Noveltydivision . 88 @ lovegame . us

An:

[meine Mailadresse]

Die Nachricht enthält Anhänge

1 Datei (68KB) v0_01-of-lovegame.pif


GOOD DAY GAMER! ?

Team lovegames .com Present New Love Game
This love-game is still freeware. You can find it in Attached. Please play it and report us Your comments and suggestions]
HELP US ...

lovegames .com

PIF-Dateien sind ein Überbleibsel aus der MS-DOS-Zeit. Sie sind ähnlich wie Exe-, Com- oder Bat-Dateien startbar und werden oft unter den ausführbaren Dateien aufgelistet. In der Funktion (nicht jedoch in ihrer Datenstruktur) ähneln sie den Linkdateien (Verknüpfungen). Diese Eigenschaft wird allerdings von Viren-Programmierern dazu missbraucht, Computer zu infizieren.

Quelle


€dit am 30.06.2011

der Anhang ist wahlweise auch aus .com, oder .exe enthalten.

€dit am 02.07.2011

Zur Not gibts den Anhang auch als .bat

Hier noch nen nettes Bildchen wi dieser Spam dann nach einer Woche aussieht.

Hab extra meinen "Spam" deswegen aufgeräumt als ob es der Eingang wäre =)

[Lookbehind]

Das ja fies! Mach noch n PDF-Icon dran, und ich wette es gibt mehr als genug Leute, die nicht genau hin schauen, statt pif dann pdf lesen, weil sie das ja schon kennen und drauf klicken.

[blutfliege1]

*schubs*

Nächste einfallsreiche Virenwelle

Western Union: You Have Money Transfer

Samstag, 16. Juli, 2011 11:03 Uhr

Von:
"MONEY TRANSFER 26" <notification31@westernunion.com>
Absender in den Kontakten speichern

An:
mich

Die Nachricht enthält Anhänge

2 Dateien (66KB) | Alle herunterladen

• [Bild: neutral.gif]gnub.jpg
• [Bild: neutral.gif]WesternUnion-431.pif

Advice Note!

You have received a remittance, more information about the money transfer is in the attached file.

Money Order can be cashed at any branch or bank in Your city !

Yours sincerely

.com, .pif, .exe.. was auch immer, wieder alles dabei

Wie beim Rest auch, variiert der Absender einfach mit der Zahl und die Adresse gibts natürlich erstmal gar nicht, man kann nämlich nix hinsenden.




Gibts eigentlich ne Möglichkeit, dass man nen Virenscanner über die Anhänge laufen lässt, ohne diese anzuklicken oder zu öffnen?
Mich täte interessieren, was da nun tatsächlich drinnen ist (aber ohne es am PC zu haben).

[Lookbehind]

Ein anständiger Virenscanner sollte die Mails schon beim Runterladen durchsuchen. Ansonsten VirusTotal