Aktuelle Virenmail

Post by Christian Winther
Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).

Lade die Datei mal auf der https://www.virustotal.com/ hoch. Dort werden
zig Virenscanner durch getestet.

--
Gruß
Daniel

Christian Winther

2012-01-17 05:57:25 UTC

Post by Daniel Schneider

Post by Christian Winther
Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).

Lade die Datei mal auf der https://www.virustotal.com/ hoch. Dort werden
zig Virenscanner durch getestet.

www.jotti.org hat eine ähnliche Funktionalität wie www.virustotal.com.

Auf www.virustotal.com hat nur Ahnlab was gefunden (irgendwas
generisches mt *Win32*).

MfG CW

Juergen P. Meier

2012-01-17 06:19:03 UTC

Post by Christian Winther
hier ist gerade auf einem sonst nicht genutzten T-Online-Account eine
Mail mit Anhang aufgeschlagen.
Betreff: Rechnung Januar
Anhang: Rechnung-Januar.exe (147 KB)
Symbol der Exe wie ein PDF-Dokument.
Das Ganze ist mit Sicherheit ein Schädling.

Offensichtlich, ja.

Post by Christian Winther
Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).

Ach. Dann wird er entweder recht neu sein, gaaaanz alt oder einfach
nur eine so stark modifizierte Variante, dass die Patterns es nicht
erkennen.

Das ist ja mit einer der Hauptgruende, warum Virenscanner ganz
konzeptionell nicht vor Viren schuetzen koennen.

Juergen

--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Helmut Hullen

2012-01-17 07:12:00 UTC

Hallo, Juergen,

Post by Juergen P. Meier

Post by Christian Winther
Erkannt wird er aber noch nicht (Avira Antivir, www.jotti.org).

Ach. Dann wird er entweder recht neu sein, gaaaanz alt oder einfach
nur eine so stark modifizierte Variante, dass die Patterns es nicht
erkennen.
Das ist ja mit einer der Hauptgruende, warum Virenscanner ganz
konzeptionell nicht vor Viren schuetzen koennen.

Mal wieder die (unsinnige) Schwarz-Weiss-Malerei.
Auch wenn die Virenscanner keine 100-%-Erkennung schaffen, sind sie ein
hilfreiches (weiteres) Werkzeug, um den eigenen Rechner zu schützen.

Viele Gruesse!
Helmut

Roland Ertelt

2012-01-17 09:14:59 UTC

Post by Helmut Hullen
...
Auch wenn die Virenscanner keine 100-%-Erkennung schaffen, sind sie ein
hilfreiches (weiteres) Werkzeug, um den eigenen Rechner zu schützen.
...

Vor allem im vom OP geschilderten Fall, gelle?

Roland

Helmut Hullen

2012-01-17 09:55:00 UTC

Hallo, Roland,

Post by Roland Ertelt

Post by Helmut Hullen
...
Auch wenn die Virenscanner keine 100-%-Erkennung schaffen, sind sie
ein hilfreiches (weiteres) Werkzeug, um den eigenen Rechner zu
schützen. ...

Vor allem im vom OP geschilderten Fall, gelle?

Stimmt - das ist eine Variante von "keine 100-%-Erkennung".
Auf meinem Rechner sind bisher alle derartigen Viren (die Teil einer E-
Mail waren) schon vom Spam-Filter aussortiert worden. Auch Spam-Filter
liefern allerdings keine 100-%-Erkennung.

-------------------

Nur sicherheitshalber: kennst Du ein auch von Endanwendern zuverlässig
benutzbares Verfahren, das 100-prozentig schützt?
Nein - ich meine nicht den Seitenschneider.
Und komm jetzt bitte nicht mit einem Bündel von Massnahmen - das wäre
nur die indirekte Bestätigung, dass es keine einzelne Massnahme gibt,
die 100-prozentig schützt.

Viele Gruesse!
Helmut

Mathias Fuhrmann

2012-01-17 10:37:56 UTC

Post by Helmut Hullen
Nur sicherheitshalber: kennst Du ein auch von Endanwendern zuverlässig
benutzbares Verfahren, das 100-prozentig schützt?

Im geschilderte Falle schon, einfach keine *.exe ausführen, so lange
nur geringste Zweifel bestehen. ;-)

Mathias,
der einen Free-Scanner am Laufen hat, der aber seit Jahren auf meinen
Rechnern nichts findet. Gut, einen Testvirus findet er immer.

Helmut Hullen

2012-01-17 11:02:00 UTC

Hallo, Mathias,

Post by Helmut Hullen
Nur sicherheitshalber: kennst Du ein auch von Endanwendern
zuverlässig benutzbares Verfahren, das 100-prozentig schützt?

Im geschilderte Falle schon, einfach keine *.exe ausführen, so lange
nur geringste Zweifel bestehen. ;-)

Klar - "solange nur geringste Zweifel bestehen" ...
Also nehme ich einen wohlklingenden Namen für die Datei. Ist ein simples
und (wie die Vergangenheit zeigt) oft gut funktionierendes Verfahren,
"Brain 1.0" zu überlisten.

Viele Gruesse!
Helmut

Mathias Fuhrmann

2012-01-17 11:48:24 UTC

Post by Mathias Fuhrmann
Mathias,

Post by Mathias Fuhrmann
Im geschilderte Falle schon, einfach keine *.exe ausführen, so lange
nur geringste Zweifel bestehen. ;-)

Das dürfte doch aber nur eine Betaversion sein. :-)
Mein Mailprogramm läßt laut meinen eingestellten Filtern das Ausführen
einer Anlage nur für bestimmte, ungefährliche Dateien zu. Das
Öffnen/Ausführen ist ansonsten mit einigen 'bewußten' Klicks
verbunden. Wenn ich das dann ohne Überprüfung mache, habe ich es nicht
anders verdient. Ich bin Privatnutzer, in Firmen muß das anders
laufen.
Ich habe mich nicht gegen VirenschutzSoftware ausgesprochen.

Mathias

Helmut Hullen

2012-01-17 12:51:00 UTC

Hallo, Mathias,

Post by Helmut Hullen

Post by Mathias Fuhrmann
Im geschilderte Falle schon, einfach keine *.exe ausführen, so
lange nur geringste Zweifel bestehen. ;-)

Klar - "solange nur geringste Zweifel bestehen" ...
Also nehme ich einen wohlklingenden Namen für die Datei. Ist ein
simples und (wie die Vergangenheit zeigt) oft gut funktionierendes
Verfahren, "Brain 1.0" zu überlisten.

Das dürfte doch aber nur eine Betaversion sein. :-)

"Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn
jedermann ist überzeugt, dass er genug davon habe." (Descartes)

Post by Mathias Fuhrmann
Ich habe mich nicht gegen VirenschutzSoftware ausgesprochen.

Ok ...

Viele Gruesse!
Helmut

Lars Gebauer

2012-01-17 13:54:27 UTC

Post by Mathias Fuhrmann
Mein Mailprogramm läßt laut meinen eingestellten Filtern das
Ausführen einer Anlage nur für bestimmte, ungefährliche Dateien zu.

Eine gute Idee! Welche wären denn das bzw. wie erkennt man sie?

Post by Mathias Fuhrmann
Das Öffnen/Ausführen ist ansonsten mit einigen 'bewußten' Klicks
verbunden. Wenn ich das dann ohne Überprüfung mache,

Und wie überprüfst Du?

Mathias Fuhrmann

2012-01-17 15:21:48 UTC

Post by Mathias Fuhrmann
Mein Mailprogramm läßt laut meinen eingestellten Filtern das
Ausführen einer Anlage nur für bestimmte, ungefährliche Dateien zu.

Eine gute Idee! Welche wären denn das bzw. wie erkennt man sie?

Ich bin kein Fachmann ...., bei meinem exotischen Mailprogramm habe
ich für
*.pdf;*.do;*.xl;*.vb;*.pl;*.rb;*.chm;*.ws;*.php;*.zip
nur Warnung eingestellt, wenn ich auf die Anlage klicke.
Und für
*.exe;*.com;*.bat;*.cmd;*.pif;*.lnk;*.scr;*.shs;*.jar;*.reg;*.scr;*.js
ist die Ausführung gesperrt, muß diese Anlagen erst auf den Desktop
ziehen pp.
HTML-Seiten zeigt ein internes Programm mit gesperrten Scripts und
ohne Zugriff auf das Internet an.
Die Endungen habe ich nur als Beispiel von irgendwo übernommen,
Experten könnten es besser einstellen. Selbstverständlich lasse ich
alle Endungen anzeigen.

Post by Mathias Fuhrmann
Das Öffnen/Ausführen ist ansonsten mit einigen 'bewußten' Klicks
verbunden. Wenn ich das dann ohne Überprüfung mache,

Und wie überprüfst Du?

Ich werfe die Datei in eine Virenüberprüfseite (www.virustotal.com
z.B.), frage beim Absender nach oder schaue mit dem Hex-Editor rein.
Erhalte selten E-Mails mit Anlage, die 'Werbedinger' bleiben schon
beim E-Mail-Provider hängen, falls die dortige Prüfung Zweifel zuläßt.

Mathias

Lars Gebauer

2012-01-17 17:02:14 UTC

Post by Mathias Fuhrmann
Mein Mailprogramm läßt laut meinen eingestellten Filtern das
Ausführen einer Anlage nur für bestimmte, ungefährliche Dateien zu.

Eine gute Idee! Welche wären denn das bzw. wie erkennt man sie?

Hm. Und /dann/? Will sagen, irgendwann mußt Du ja eine Entscheidung treffen.

Post by Mathias Fuhrmann
Die Endungen habe ich nur als Beispiel von irgendwo übernommen,

Ob das mit den Endungen so eine gute Idee ist ...

Post by Mathias Fuhrmann
Das Öffnen/Ausführen ist ansonsten mit einigen 'bewußten' Klicks
verbunden. Wenn ich das dann ohne Überprüfung mache,

Und wie überprüfst Du?

Ich werfe die Datei in eine Virenüberprüfseite (www.virustotal.com
z.B.),

Hatten wir gerade hier. Funktioniert nicht (zuverlässig).

Post by Mathias Fuhrmann
frage beim Absender nach

Der weiß doch noch nichtmal, was ein Virus ist. (letztes Jahr hat ein
Bekannter hier wochenlang Würmer per USB-Stick verteilt. Es hat ihn
schlicht nicht interessiert.)

Post by Mathias Fuhrmann
oder schaue mit dem Hex-Editor rein.

Respekt, Respekt. Wenn Du Dir anschließend halbwegs sicher bist ...

Helmut Hullen

2012-01-17 17:41:00 UTC

Hallo, Lars,

Du meintest am 17.01.12:

[Virenscanner]

Post by Lars Gebauer
Und wie überprüfst Du?

Ich werfe die Datei in eine Virenüberprüfseite (www.virustotal.com
z.B.),

Hatten wir gerade hier. Funktioniert nicht (zuverlässig).

Meine bisherigen Erfahrungen mit den Viren, die ich per E-Mail erhielt:
nach etwa 4 Stunden haben vielleicht 10 der 20 Scanner bei jotti.org den
Virus erkannt, einige brauchten mehr als 1 Tag, bis sie ihn erkannten.

Aber: nicht jeder Virendreck (o.ä.) kommt als E-Mail-Anhang an.
Anscheinend sind derzeit Mechanismen im HTML-Umfeld erheblich beliebter.

Viele Gruesse!
Helmut

Uwe Premer

2012-01-17 09:47:15 UTC

Post by Christian Winther
hier ist gerade auf einem sonst nicht genutzten T-Online-Account eine
Mail mit Anhang aufgeschlagen.
Betreff: Rechnung Januar
Anhang: Rechnung-Januar.exe (147 KB)

Hab ich auch erhalten.
Interessant ist, dass der T-Online-eigene Postfachvirenschutz den Schädling
auch noch nicht in seiner Liste hat:

| X-TOI-SPAM: n;1;2012-01-16T16:43:53Z
| X-TOI-VIRUSSCAN: clean
| X-TOI-EXPURGATEID: 150726::1326732190-00007904-34B39DE7/0-0/0-7
| X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT

Immerhin wird da im Header vor einem "gefährlichen Anhang" gewarnt. Aber wer
schaut denn schon in die Header bei sowas?
Ack.

Uwe

Helmut Hullen

2012-01-17 09:58:00 UTC

Hallo, Uwe,

Post by Uwe Premer

Post by Christian Winther
hier ist gerade auf einem sonst nicht genutzten T-Online-Account
eine Mail mit Anhang aufgeschlagen.
Betreff: Rechnung Januar
Anhang: Rechnung-Januar.exe (147 KB)

Hab ich auch erhalten.
Interessant ist, dass der T-Online-eigene Postfachvirenschutz den
| X-TOI-SPAM: n;1;2012-01-16T16:43:53Z
| X-TOI-VIRUSSCAN: clean
| X-TOI-EXPURGATEID: 150726::1326732190-00007904-34B39DE7/0-0/0-7
| X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT
Immerhin wird da im Header vor einem "gefährlichen Anhang" gewarnt.
Aber wer schaut denn schon in die Header bei sowas?

Mein Spam-Filter macht das ...

Viele Gruesse!
Helmut

Oliver Schwickert

2012-01-17 20:05:19 UTC

Post by Uwe Premer
Interessant ist, dass der T-Online-eigene Postfachvirenschutz den Schädling

Weil er möglicherweise auf Avira basiert?

Post by Uwe Premer
| X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT
Immerhin wird da im Header vor einem "gefährlichen Anhang" gewarnt.

Das Team schrieb AFAIR in den internen T-Online-Gruppen mal, daß
"DANGEROUS, ATTACHMENT" bei jeder Mail mit ausführbarem Anhang gesetzt wird.

Christian Winther

2012-01-17 17:11:07 UTC