=kettcar= 258 Melden Teilen Geschrieben 2. Juni 2014 Hallo zusammen, aus aktuellem Anlass habe ich eben eine kleine Übersicht zusammengestellt an was man den Telekom Virus, der im Moment im Umlauf ist erkennen kann. Zuerst ein paar Sachen die euch stutzig machen könnten: Man ist kein Telekom Kunde und bekommt eine Rechnung ( löschen und als Spam markieren!) Die Mail hat einen Anhang der KEIN PDF ist, eine .zip oder .rar oder .exe! Solche Anhänge niemals öffen und schon dreimal nicht ausführen wenn sie nicht aus 100% sicheren Quellen stammen! Man wird nicht mit Namen angeschrieben sondern allgemein. Die Kunden- oder Kontonummer stimmt nicht überein. Hier im Bild seht ihr das sich die Rechnungen verblüffend ähneln: Zwei Faktoren stimmen hier augenscheinlich nicht: Die Buchungskontonummer (meine richtige Nummer in gün) Wird die Telekom keine Mail mit Wichtigkeit „hoch“ (das Ausrufezeichen) versenden Rechnungen kommen von der GmbH, nicht von der AG Die Mail im Detail: Wenn man die Mail nur überfliegt sieht man erstmal nichts, sie ist täuschend echt. Sieht man genauer hin fällt im Header der Absender „web44p2“ auf, kein Telekom Ansender. Auch werden wir in der Anrede nicht mit Namen angesprochen! Das wichtigste ist aber der LINK zur Rechnung. Hier handelt es sich um eine .zip Datei, also einen gepackten Container mit Inhalt den man nicht kennt (der linkt auch wie man in der Adresse sieht NICHT auf einen Telekom Server). Hier muss man definitiv stutzig werden. Aus der Arbeit wo wir schon in diversen Netzwerken mit diesem Virus Probleme haben kann ich sagen das sich in der .zip eine ausführbare Datei (.exe) befindet und diese nach ausführen Schadsoftware (Trojaner, Keylogger, Fernsteuerung und Botnetz Software) auf den PC, Laptop, Handy oder Tablet lädt. Tief in die Registry des Windows Systems. Da hilft nur noch plattmachen und neu aufsetzen. L Solche Mails als SPAM markieren, in den SPAM Ordner verschieben und LÖSCHEN! Prüft die nächste Zeit bitte genau welche Mails ihr aufmacht, und seit euch bei Anhängen 100% sicher das sie aus einer vertrauenwürdigen Quelle stammen. P.S.: Hier der html Header der Mail mit Absenderadressen die nicht die Telekom sind: „Return-Path: Deutsche@s14.pixelx.de Received: from s14.pixelx.de ([80.86.184.42]) by mx.kundenserver.de (mxeue003) with ESMTPS (Nemesis) id 0Mguou-1XDRYv3VOS-00M5jB for <+++++++>; Mon, 02 Jun 2014 09:05:29 +0200 Received: from wp-energie-pc (unknown [178.188.172.190]) by s14.pixelx.de (s14.pixelx.de) with ESMTPA id 25D3115C5A29 for <++++@+++++>; Mon, 2 Jun 2014 09:05:29 +0200 (CEST) Date: Mon, 02 Jun 2014 09:05:27 +0200 From: Deutsche Telekom AG <web44p2> To: ++++@+++++ X-MSMail-Priority: High X-Priority: 1 Priority: urgent Importance: high X-MimeOLE: Produced by Blat v3.1.1 X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net “ Gruessle da kett Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
pnshr 1433 Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) es gibt noch leute die darauf reinfallen? € ich werds meiner mutter mal sagen aber selbst die ist da vorsichtig. Bearbeitet 2. Juni 2014 von pnshr Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Cpl.Basti 1488 Melden Teilen Geschrieben 2. Juni 2014 Also allein schon dass es in ner *.zip verpackt ist sollte doch alles sagen Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
=kettcar= 258 Autor Melden Teilen Geschrieben 2. Juni 2014 Hast du ne Ahnung. Ich habe heut auch zweimal schauen müssen. Damit habe ich aber wie gesagt in der Arbeit zu tun. Im Moment ist es so das diese Mails durch die Filter der Barracudas, Sophos, Antivirs rutschen da jeden Tag neue kommen. In den zwei Stunden bis die neuen Virenpattern der Hersteller kommen hat schon so mancher sein Firmennetzwerk und ganze Abteilungen lahmgelegt. Glaub mir es gibt wirklich sehr sehr viele die das Hirn erst später einschalten. btw.: da erlebste wirklich was verbindet :laugh: wenn man dann Teil von nem Botnetz ist oder der Logger fleissig Daten und Passwörter schaufelt. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Angstman 1394 Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) Das ist das einzige, was mir dazu noch einfällt... @Kett: In so Firmen arbeiten aber auch viele, für die das alles noch Neuland ist Bearbeitet 2. Juni 2014 von Angstman 3 Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
=kettcar= 258 Autor Melden Teilen Geschrieben 2. Juni 2014 Ja, und teils in hohen Positionen^^ Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
pnshr 1433 Melden Teilen Geschrieben 2. Juni 2014 das ist leider nix neues... hauptsache der it-obermotz ist kein dau Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Sven 134 Melden Teilen Geschrieben 3. Juni 2014 Noch was dazu: In den Mails (beim Thuinderbird ist das standardmäßig aktiviert) keine Bilder anzeigen lassen. Über das Nachladen der Bilder in den Mails kann der Absender solcher Nachrichten sehr schön sehen, ob jemand das auch liest, die Adresse also stimmt. Und in den Ordneroptionen (Explorer) den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" wegmachen. Die IP, von der die Mail gesendet wurde, ist eine von Telekom Austria. Hat aber nix zu sagen, das ist mit Sicherheit ein gekaperter PC. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Gast Melden Teilen Geschrieben 3. Juni 2014 Jap, man öffnet auch eine Rechnung die als ZIP per Mail kommt #Neuland Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
complex 367 Melden Teilen Geschrieben 3. Juni 2014 (bearbeitet) es gibt noch leute die darauf reinfallen? € ich werds meiner mutter mal sagen aber selbst die ist da vorsichtig. Also meine Eltern würden drauf reinfallen, bzw die gefahr wäre hoch...man darf nicht immer von sich auf andere schließen. Wenn solche Geschichten gut gemacht sind und man Leute wie zb meinen Dad erwischt, der im dauerstress ist und nicht alles bis aufs kleinste detail durchcheckt , kann man schon mal drauf reinfallen. Für uns absolut offensichtlich, klar Bearbeitet 3. Juni 2014 von complex Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Kantholz 691 Melden Teilen Geschrieben 3. Juni 2014 exakt das gleiche hab ich gestern in unser Intranet in der Firma gepackt - nur bissl DAU verständlicher: Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...