{"id":274,"date":"2007-09-15T23:19:06","date_gmt":"2007-09-15T21:19:06","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/274-trojanerangriff-per-e-mail"},"modified":"2018-05-31T17:31:24","modified_gmt":"2018-05-31T16:31:24","slug":"trojanerangriff-per-e-mail","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/274-trojanerangriff-per-e-mail","title":{"rendered":"Trojanerangriff per E-Mail"},"content":{"rendered":"<p>Disclaimer: Achtung, enth\u00e4lt m\u00f6glicherweise jugendgef\u00e4hrdende Fotos und Dateien \ud83d\ude42<\/p>\n<p>Ich finde das ja durchaus interessant. Da bekomme ich also (m\u00fchsam aus dem Spamordner gefischt) folgende E-Mail:<\/p>\n<p><img loading=\"lazy\" src=\"\/blog\/wp-content\/uploads\/2007\/09\/mw-trojaner1.gif\" height=\"299\" width=\"510\" \/><\/p>\n<p>Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und l\u00e4dt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich wei\u00df n\u00e4mlich nicht, ob die Dame mit der Ver\u00f6ffentlichung des Bildes einverstanden ist oder ob das Bild irgendwo einfach geklaut wurde):<\/p>\n<p><img src=\"\/blog\/wp-content\/uploads\/2007\/09\/mw-trojaner2.gif\" \/><\/p>\n<p>Beim Anklicken von &#8222;Andere Fotos finden Sie im Archiv&#8220; bekommt man eine Datei &#8222;<a href=\"\/blog\/wp-content\/uploads\/2007\/09\/photos.zip\">photos.exe<\/a>&#8220; (ZIP-File, Achtung Download auf eigene Gefahr) angeboten. Ich habe die Datei an <a href=\"http:\/\/www.virustotal.com\/de\/\">Virus Total<\/a> geschickt, um sie testen zu lassen, nachdem mein lokaler Virenscanner nichts gefunden hat. Das Ergebnis ist relativ eindeutig:<\/p>\n<p><img src=\"\/blog\/wp-content\/uploads\/2007\/09\/mw-trojaner3.gif\" \/><\/p>\n<p>Zumindest 10 der vorgeschalteten Virenscanner kommt die Datei suspekt vor, im Allgemeinen wird ein Trojan Dropper (d.h. ein Programm, das weiteren Schadcode nachl\u00e4dt) mit dem Namen PolyCrypt erkannt.<\/p>\n<p>Mich beeindruckt ja der Aufwand, mit dem das Verbreiten von Schadcode inzwischen erfolgt. Fr\u00fcher w\u00e4re die Datei einfach als Attachment in der Mail enthalten gewesen. Heute setzen die Angreifer eigene Webseiten auf (ok, enth\u00e4lt nur ein Photo, aber die URL muss zumindest registriert werden), verbreiten passenden Spam und warten darauf, dass die nichtsahnenden Nutzer sich den Schadcode selbst auf den Rechner laden.<\/p>\n<p>Ich bin mir sicher, das Verfahren l\u00e4sst sich auch hervorragend f\u00fcr gezielte Social Engineering Angriffe gegen Unternehmen missbrauchen. Einfach eine \u00e4hnlich klingende Domain registrieren, eine passende Mail gezielt an einzelne Mitarbeiter verschicken und abwarten, was passiert &#8230;<\/p>\n<p><strong>Anmerkung:<\/strong> AntiVir\u00c2\u00a0 7.06.00.05 vom 06.09.2007 erkennt den Schadcode noch nicht,\u00c2\u00a0 AntiVir 7.06.00.10 vom 15.09.2007 erkennt den Schadcode. Da sieht man mal wieder, wie wichtig aktuelle Virenscanner-Updates sind. Auch interessant, AntiVir sucht inzwischen nach 1071077 Virenst\u00e4mmen, \u00fcber 1 Million, schon krass. Vielleicht doch langsam <a href=\"http:\/\/www.theregister.co.uk\/2007\/06\/08\/death_of_av\/\">Whitelists<\/a> einf\u00fchren?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Disclaimer: Achtung, enth\u00e4lt m\u00f6glicherweise jugendgef\u00e4hrdende Fotos und Dateien \ud83d\ude42 Ich finde das ja durchaus interessant. Da bekomme ich also (m\u00fchsam aus dem Spamordner gefischt) folgende E-Mail: Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und l\u00e4dt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[9,8,10],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/274"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=274"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/274\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}