Mail-Betreff: Abbuchungserlaubnis / Abrechnungsvertrag

 Ich auch, vier Stück.
Immer der selbe Text nur die Summe und der Empfänger und Absender sind verschieden.
Hab aber keine Neugier gezeigt,weil ich bin ja abgeklärt. 
Übrigens,wer nicht in meiner Liste steht findet sich eh im Spamordner wieder.


Das ist Nr. 5

Sehr geehrter Kunde, sehr geehrte Kundin!
Ihr Abbuchungsauftrag Nr. 062302895640 wurde erfullt.
Ein Betrag von 4930.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Paypalabbuchung " angezeigt.
Sie finden die Details zu der Rechnung im Anhang
 
PayPal (Europe) S.224; r.l. & Cie, S.C.A.
22-24 Boulevard Royal
L-2449 Luxembourg
 
Vertretungsberechtigter: Brent Bellm
Handelsregisternummer: R.C.S. Luxembourg B 118 349

mfg  Burgeule 

Der Anhang davon:

 

Datei Rechnung.rar empfangen 2008.06.01 09:28:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 14/31 (45.17%)


AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.26 2008.06.01 -
Authentium 5.1.0.4 2008.06.01 W32/Trojan2.ASVP
Avast 4.8.1195.0 2008.05.31 -
AVG 7.5.0.516 2008.05.31 -
BitDefender 7.2 2008.06.01 Trojan.Spy.Notos.I
CAT-QuickHeal 9.50 2008.05.31 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.06.01 PUA.Packed.nPack-3
DrWeb 4.44.0.09170 2008.05.31 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5837 2008.05.30 -
Ewido 4.0 2008.05.31 -
F-Prot 4.4.4.56 2008.05.31 -
F-Secure 6.70.13260.0 2008.06.01 Trojan.Win32.Buzus.hrp
Fortinet 3.14.0.0 2008.06.01 -
GData 2.0.7306.1023 2008.06.01 Trojan.Win32.Buzus.hrp
Ikarus T3.1.1.26.0 2008.06.01 Win32.Outbreak
Kaspersky 7.0.0.125 2008.06.01 Trojan.Win32.Buzus.hrp
McAfee 5307 2008.05.30 New Malware.co
Microsoft 1.3520 2008.06.01 Backdoor:Win32/Agent
NOD32v2 3149 2008.05.31 -
Norman 5.80.02 2008.05.30 -
Panda 9.0.0.4 2008.05.31 Suspicious file
Prevx1 V2 2008.06.01 -
Rising 20.46.61.00 2008.06.01 -
Sophos 4.29.0 2008.05.31 Troj/Clagger-BE
Sunbelt 3.0.1139.1 2008.05.29 VIPRE.Suspicious
Symantec 10 2008.06.01 -
VBA32 3.12.6.6 2008.05.31 -
VirusBuster 4.3.26:9 2008.05.31 -
Webwasher-Gateway 6.6.2 2008.06.01 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 64241 bytes
MD5...: ae0aaff564c300c74f4c4888188adda4

Whois:
 

inetnum: 79.164.208.0 - 79.164.223.255
netname: Neo-CNT
descr: BRAS E-320-45 DHCP-pool
descr: Russian Central Telegraph, Moscow
country: RU
admin-c: VYK9-RIPE
admin-c: AAP43-RIPE

Igittigitt. 

mfg  Burgeule

Habe es deshalb gepostet, da Avira/AntiVir es noch nicht erkennt.

Bei mir hat Trend Micro erkannt !

@humdinger schick die Datei please nach Avira damit die es in die neuen Virendefinitionen einbinden können.

Habe ich natürlich schon lange getan. Doch die arbeiten wohl Sonntags nicht?

 

Willkommen zurück!

Das Virenlabor Team ist momentan mit der Analyse beschäftigt

so geht das schon die ganze Zeit

Habe ich natürlich schon lange getan. Doch die arbeiten wohl Sonntags nicht?

 
so geht das schon die ganze Zeit

Ah okay, kein plan ob die Sonntags arbeiten oda net.

 

Das Virenlabor Team ist momentan mit der Analyse beschäftigt

Auch bis Montag früh hat es Avira nicht geschafft die Datei zu analysieren.

Nun ja muss ja jeder selbst wissen welchen Schutz er vertraut. 

Da werden die Foren ja wieder überquellen mit verseuchten Systemen 
da wohl wieder viele sich gedacht haben, was sollst ich habe ja einen guten Freeware Schutz und die Datei sich dann angeschaut haben. 

Das wurde aber auch Zeit 

Endlich hat auch Avira mal reagiert:

 

  Dateiname    Ergebnis
 Rechnung.exe     MALWARE

Die Datei 'Rechnung.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Buzus.hrp gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster ist mit Version 7.00.04.121 der Virendefinitionsdatei (VDF) hinzugefügt.

Also ich habe die e-mail auch erhalten, habe das Programm rechnung.exe aber nicht entpackt, sondern mit Anti-Vir gecheckt, der Trojaner wurde aber erkannt. 

Es ist das alte Lied...
Dum.mheit und Neugier sind halt Brüder ...
Auch eignet sich dieser Anhang wieder vortrefflich um über Sinn und Unsinn eines Scanners zu debatieren...

Der Anhang öffnet nach Installation einen Port und kontaktiert einen IRC -Chat
Dort gibt es ein Update dessen weitere Funktionen noch nicht ganz klar sind..
Er erhält eine neue Adresse unter der er sich melden soll,ein weiterer Relaychat der aber noch nicht in Funktion ist.
Auch wird mit dem Update eine Änderung vorgenommen die noch erkannt werden muß .Entweder ein im Hintergrund laufender Lauscher oder gleich ein Rootkit...

Als gesichert gilt die Erkenntniss der Nutzung > Botnetz -zum Spamverteilen oder sonstiges ...
Russische Botnetze kann jeder haben ,der die Miete zahlt...
Im Vorraus versteht sich..
Im Log von Hijackthis sollte sich der Trojaner als ein F2 Eintrag erkennen lassen...
Oder als Netzwerkdienst (User System)...
Das bei Trojaner mit Backdoorfunktionalität( IRC Channel zu kontakten ist eine Backdooreigenschaft !!) nur eine Neuinstallation in Frage kommt,bedarf eigentlich keiner weiteren Erklärung...