unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Anti-Virenboard » Backdoor auf funpic.de?!? » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Backdoor auf funpic.de?!?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

DerBilk DerBilk ist männlich
Lebende Legende


images/avatars/avatar-46.jpg

Dabei seit: 15.07.2005
Beiträge: 114

Level: 35 [?]
Erfahrungspunkte: 781.079
Nächster Level: 824.290
43.211 Erfahrungspunkt(e) für den nächsten Levelanstieg

Backdoor auf funpic.de?!? Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Hallo,

einer unserer Mitarbeiter erhielt gestern eine SMS von einem Ihm unbekannten Absender mit folgendem Inhalt:

Zitat:
Hi [Name entfernt], wie gehts?wie gesagt, hier die urlaubsbilder: h**p://[editiert].funnpic.de/adobepictureviewer.exe Der Viewer öffnet alle Bilder Ich meld mich gruß Petzauge


Der sog. Viewer wird bei Jotti z. Z. folgendermaßen erkannt:
Zitat:
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32: Dumador-T gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Dumador.ed gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Embedded.Backdoor.Win32.Dumador.dg gefunden (mögliche Variante)


Interessanter Weise scheint die SMS personalisiert. Bei dem in der SMS angegebenen Vornamen handelt es sich um den tatsächlichen Namen des Empfängers...

Das Sample habe ich bereits an div. AV-Hersteller geschickt und an funpic.de ist ebenfalls eine Mail raus.
Da es sich um ein privates Handy des Kollegen handelt, wird dieser ggf. Anzeige bei der Polzei stellen...


__________________
Gruß,
DerBilk

Nur weil ich paranoid bin, heisst das nicht, dass sie nicht hinter mir her sind... (Matthias Deutschmann)

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von DerBilk: 16.09.2005 16:01.
16.09.2005 11:36 DerBilk ist offline Homepage von DerBilk Beiträge von DerBilk suchen Nehmen Sie DerBilk in Ihre Freundesliste auf

chaosman chaosman ist männlich
Regular


images/avatars/avatar-55.jpg

Dabei seit: 23.04.2005
Beiträge: 118

Level: 35 [?]
Erfahrungspunkte: 818.332
Nächster Level: 824.290
5.958 Erfahrungspunkt(e) für den nächsten Levelanstieg

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
h**p://[editiert].funnpic.de/adobepictureviewer.exe

funpic.de

Ist ja fast identisch...

hier die Beschreibung
http://securityresponse.symantec.com/avc...oor.nibu.n.html
LG
chaosman


__________________
Bonus vir semper tiro
16.09.2005 14:43 chaosman ist offline Beiträge von chaosman suchen Nehmen Sie chaosman in Ihre Freundesliste auf

DerBilk DerBilk ist männlich
Lebende Legende


images/avatars/avatar-46.jpg

Dabei seit: 15.07.2005
Beiträge: 114

Level: 35 [?]
Erfahrungspunkte: 781.079
Nächster Level: 824.290
43.211 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von DerBilk
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Der SMS-Text hieß richtigerweise ...funpic.de..., also mit einem n, sorry!
Aber diesen Viewer erkennt Symantec im Moment noch nicht...
Andere AV-Hersteller haben ihn in der Erkennung nun mit drin.

Zitat:

AntiVir Backdoor-Server/Dumador.ED gefunden
Avast Win32: Dumador-T gefunden
AVG Antivirus BackDoor.Dumador.CD gefunden
Dr.Web BackDoor.Dumaru.20 gefunden
KAV Backdoor.Win32.Dumador.ed gefunden
VBA32 Embedded.Backdoor.Win32.Dumador.dg gefunden (mögliche Variante)


__________________
Gruß,
DerBilk

Nur weil ich paranoid bin, heisst das nicht, dass sie nicht hinter mir her sind... (Matthias Deutschmann)

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von DerBilk: 16.09.2005 16:04.
16.09.2005 16:04 DerBilk ist offline Homepage von DerBilk Beiträge von DerBilk suchen Nehmen Sie DerBilk in Ihre Freundesliste auf

DerBilk DerBilk ist männlich
Lebende Legende


images/avatars/avatar-46.jpg

Dabei seit: 15.07.2005
Beiträge: 114

Level: 35 [?]
Erfahrungspunkte: 781.079
Nächster Level: 824.290
43.211 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von DerBilk
Update Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Die besagte Datei ist mittlerweile vom Funpic-Server verschwunden. Zumindest bei o.g. Adresse kommt nur noch eine 404-Seite... yes
Vllt. hat meine Mail an abuse ja doch Eindruck gemacht... Petzauge


__________________
Gruß,
DerBilk

Nur weil ich paranoid bin, heisst das nicht, dass sie nicht hinter mir her sind... (Matthias Deutschmann)
16.09.2005 17:02 DerBilk ist offline Homepage von DerBilk Beiträge von DerBilk suchen Nehmen Sie DerBilk in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Anti-Virenboard » Backdoor auf funpic.de?!?

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2024 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;

Nach oben