Aktuelle Trojaner und Viren Word Dateien als Mailanhang

19/01/2016 - 22:40 von Manfred Rebentisch | Report spam
Hallo,
ich bekomme sehr viele Mails mit Rechnungen im WordFormat. Ich lösche
die natürlich ungelesen.
Aber ein Kunde mit neuer Domain bekam solche Mails zu Hauf gleich an die
neue Domain und hat gleich auf zwei dieser Anhànge geklickt.

Er bekam allerdings die Meldung, dass die Datei schreibgeschützt sei und
konnte sie nicht ganz öffnen. Nun weiß ich nicht, ob da trotzdem schon
Schadcode ausgeführt werden konnte.

Habe unter http://spam.tamagothi.de/tag/rechnung/ gelesen, dass einige
dieser Datei nicht ganz korrekt im Header sind. Das kann raffinierte
Absicht sein.

Der Hexdump vom Dateianfang (blöd wegen der Spaltenbreite):

$ hexdump -C rechnung.kd-8356624.doc
00000000 6a 68 67 34 33 33 47 67 75 69 62 20 48 4a 47 56 |jhg433Gguib
HJGV|
00000010 48 4a 56 20 4b 53 44 46 0d 0a 4d 49 4d 45 2d 56 |HJV
KSDF..MIME-V|
00000020 65 72 73 69 6f 6e 3a 20 67 66 76 63 71 77 65 71 |ersion:
gfvcqweq|
00000030 32 33 64 20 48 49 57 49 55 20 47 55 49 57 45 44 |23d HIWIU
GUIWED|
00000040 51 57 44 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70
|QWD..Content-Typ|
00000050 65 3a 20 6d 75 6c 74 69 70 61 72 74 2f 72 65 6c |e:
multipart/rel|
00000060 61 74 65 64 3b 20 62 6f 75 6e 64 61 72 79 3d 22 |ated;
boundary="|
00000070 2d 2d 2d 2d 3d 5f 4e 65 78 74 50 61 72 74 5f 30
|-=_NextPart_0|
00000080 31 44 31 35 31 46 32 2e 33 43 34 35 44 35 30 30
|1D151F2.3C45D500|
00000090 22 0d 0a 0d 0a 79 75 66 67 76 42 20 47 20 69 20 |"yufgvB
G i |
000000a0 67 76 69 75 42 4a 48 42 4a 4b 42 4b 4a 0d 0a 0d
|gviuBJHBJKBKJ...|
000000b0 0a 2d 2d 2d 2d 2d 2d 3d 5f 4e 65 78 74 50 61 72
|.=_NextPar|
000000c0 74 5f 30 31 44 31 35 31 46 32 2e 33 43 34 35 44
|t_01D151F2.3C45D|
000000d0 35 30 30 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 6f 63
|500..Content-Loc|
000000e0 61 74 69 6f 6e 3a 20 66 69 6c 65 3a 2f 2f 2f 43 |ation:
file:///C|
000000f0 3a 2f 32 36 38 32 35 34 38 32 2f 61 72 61 62 2e
|:/26825482/arab.|
00000100 68 74 6d 0d 0a 43 6f 6e 74 65 6e 74 2d 54 72 61
|htm..Content-Tra|
00000110 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20
|nsfer-Encoding: |
00000120 71 75 6f 74 65 64 2d 70 72 69 6e 74 61 62 6c 65
|quoted-printable|
00000130 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20
|..Content-Type: |
00000140 74 65 78 74 2f 68 74 6d 6c 3b 20 63 68 61 72 73 |text/html;
chars|
00000150 65 74 3d 22 77 69 6e 64 6f 77 73 2d 31 32 35 31
|et="windows-1251|


Weiß jemand, wie sich das verhàlt?

Danke für einen Tipp!

Manfred
 

Lesen sie die antworten

#1 Martin Steigerwald
19/01/2016 - 22:50 | Warnen spam
Am Dienstag, 19. Januar 2016, 22:24:16 CET schrieb Manfred Rebentisch:
Hallo,
ich bekomme sehr viele Mails mit Rechnungen im WordFormat. Ich lösche
die natürlich ungelesen.
Aber ein Kunde mit neuer Domain bekam solche Mails zu Hauf gleich an die
neue Domain und hat gleich auf zwei dieser Anhànge geklickt.

Er bekam allerdings die Meldung, dass die Datei schreibgeschützt sei und
konnte sie nicht ganz öffnen. Nun weiß ich nicht, ob da trotzdem schon
Schadcode ausgeführt werden konnte.



1) Sehe ich erstmal keinen Bezug auf Debian. Siehst Du einen?

2) Fehlen Deiner Mail wichtige Informationen. Z.B. in welcher Anwendung der
Kunde auf was für Word-Dokumente geklickt hat und welche Anwendung dann zum
Öffnen dieser Dateien zum Einsatz kam. Auch ist "konnte sie nicht ganz öffnen"
keine sonderlich exakte Beschreibung. Kam eine Fehlermeldung oder so?

(Möglicherweise ignoriere ich den Thread von nun an, um meine Zeit sinnvoller
einzusetzen.)

Ciao,
Martin

Ähnliche fragen