Es kursiert eine neue variante der Ebay-Mail (siehe auch http://www.virenkiller.de/archives/21 ) mit dem Absender
kundensupport@ebay.de
meinestory@ebay.de
emailnotif@ebay.com
Der Inhalt der Mail ist identisch – inklusive der Fehler. Das Betreff lautet:
Der Inhalt der Mail ist identisch – inklusive der Fehler. Das Betreff lautet:
Ihre Ebay E-Mail wurde geandert
oder
Ebay: Sie haben Ihre Email Adresse geanderter
oder auch
Ihre Ebay E-Mail wurde geandert
Allein die Umlautfehler lassen schon darauf schließen, dass der Text der Mail kopiert wurde, der Versender aber versucht, eine gewisse Varianz ins Betreff zu bringen, jedoch über keine Umlaute in der Tastatur verfügt.
Die Namen der gezippten Anhänge (etwa 8 kb) setzen sich aus Ziffern zusammen, wie etwa
2864046.zip
23430093.zip
2803071.zip
Darin befindet sich eine ausführbare Trojanerdatei namens Ebay.doc.exe (komplett mit Word-Icon)
Der Mailtext:
eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!
Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.
Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!Vielen Dank,
eBay
——————————————————————Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.htmlAllgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.htmlCopyright 2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
——————————————————————
Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html
Nicht alle Scanner kennen die Variante, einige Onlinescanner schlagen Alarm.
Jotti meint:
| Datei: | 2803071.zip | ||||
| Auslastung: |
|
||||
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
||||
| Entdeckte Packprogramme: |
–
|
||||
| AntiVir |
HEUR-DBLEXT/Worm.Gen, TR/Dldr.Nurech.BG gefunden
|
||||
| ArcaVir |
Keine Viren gefunden
|
||||
| Avast |
Keine Viren gefunden
|
||||
| AVG Antivirus |
Downloader.Generic4.EVE gefunden
|
||||
| BitDefender |
Trojan.Downloader.Nurech.AI gefunden
|
||||
| ClamAV |
Trojan.Downloader-5254 gefunden
|
||||
| Dr.Web |
DLOADER.Trojan gefunden (mögliche Variante)
|
||||
| F-Prot Antivirus |
unknown virus gefunden (mögliche Variante)
|
||||
| F-Secure Anti-Virus |
Trojan-Downloader.Win32.Nurech.bg gefunden
|
||||
| Fortinet |
W32/AAP!tr.dldr gefunden
|
||||
| Kaspersky Anti-Virus |
Trojan-Downloader.Win32.Nurech.bg gefunden
|
||||
| NOD32 |
Win32/TrojanDownloader.Nurech.BG gefunden
|
||||
| Norman Virus Control |
Keine Viren gefunden
|
||||
| Panda Antivirus |
Generic gefunden
|
||||
| Rising Antivirus |
Keine Viren gefunden
|
||||
| VirusBuster |
Keine Viren gefunden
|
||||
| VBA32 |
Keine Viren gefunden
|
||||
Und Virustotal meint:
| Antivirus | Version | Update | Result |
| AhnLab-V3 | 2007.4.17.1 | 04.17.2007 | no virus found |
| AntiVir | 7.3.1.52 | 04.16.2007 | no virus found |
| Authentium | 4.93.8 | 04.16.2007 | no virus found |
| Avast | 4.7.981.0 | 04.16.2007 | no virus found |
| AVG | 7.5.0.447 | 04.16.2007 | Downloader.Generic4.EVE |
| BitDefender | 7.2 | 04.17.2007 | no virus found |
| CAT-QuickHeal | 9.00 | 04.16.2007 | no virus found |
| ClamAV | devel-20070312 | 04.17.2007 | Trojan.Downloader-5254 |
| DrWeb | 4.33 | 04.17.2007 | DLOADER.Trojan |
| eSafe | 7.0.15.0 | 04.16.2007 | no virus found |
| eTrust-Vet | 30.7.3572 | 04.16.2007 | no virus found |
| Ewido | 4.0 | 04.16.2007 | Downloader.Nurech.bg |
| FileAdvisor | 1 | 04.17.2007 | no virus found |
| Fortinet | 2.85.0.0 | 04.17.2007 | W32/AAP!tr.dldr |
| F-Prot | 4.3.2.48 | 04.16.2007 | no virus found |
| F-Secure | 6.70.13030.0 | 04.17.2007 | Trojan-Downloader.Win32.Nurech.bg |
| Ikarus | T3.1.1.5 | 04.17.2007 | Trojan-Downloader.Win32.Small |
| Kaspersky | 4.0.2.24 | 04.17.2007 | Trojan-Downloader.Win32.Nurech.bg |
| McAfee | 5010 | 04.16.2007 | Downloader-AAP |
| Microsoft | 1.2405 | 04.17.2007 | no virus found |
| NOD32v2 | 2196 | 04.17.2007 | no virus found |
| Norman | 5.80.02 | 04.14.2007 | no virus found |
| Panda | 9.0.0.4 | 04.17.2007 | Generic Trojan |
| Prevx1 | V2 | 04.17.2007 | no virus found |
| Sophos | 4.16.0 | 04.16.2007 | no virus found |
| Sunbelt | 2.2.907.0 | 04.14.2007 | no virus found |
| Symantec | 10 | 04.17.2007 | no virus found |
| TheHacker | 6.1.6.095 | 04.15.2007 | no virus found |
| VBA32 | 3.11.3 | 04.16.2007 | no virus found |
| VirusBuster | 4.3.7:9 | 04.16.2007 | no virus found |
| Webwasher-Gateway | 6.0.1 | 04.17.2007 | Win32.NewMalware.GE!23552 |
Diese und ähnliche Warnungen per Email?
http://www.virenkiller.de/newsletter/
Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
Vielen, vielen Dank für die Hilfe.
Kommentar by Andreas — 21. Oktober 2013 @ 18:22
Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.
Kommentar by virenkiller — 21. Oktober 2013 @ 21:25
Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.
Kommentar by Andreas — 23. Oktober 2013 @ 07:58
Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.
http://www.virenkiller.de/onlinevirenscanner/
Kommentar by virenkiller — 23. Oktober 2013 @ 08:01
Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.
PS.: Ich finde virenkiller.de echt SUPER!!!
Kommentar by Andreas — 23. Oktober 2013 @ 09:31
Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
S.o.S!
Kommentar by Scully — 5. Januar 2014 @ 07:14
Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.
Kommentar by virenkiller — 5. Januar 2014 @ 12:13
Hallo virenkiller,
ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.
Kommentar by Anna — 4. Juni 2014 @ 16:34
Hallo Anna,
ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.
Kommentar by virenkiller — 4. Juni 2014 @ 18:27