News Emotet ist zurück: Neue Variante der ge­fähr­lich­en Schad­software aufgetaucht

Frank

Chefredakteur
Teammitglied
Registriert
März 2001
Beiträge
8.737
  • Gefällt mir
Reaktionen: iron-man, mnoe02, BrollyLSSJ und 3 andere
Nein.
Und dass das nicht geht, sieht man auch in der Quelle.
Es grüßt ein "Profi"
 
  • Gefällt mir
Reaktionen: zEtTlAh
Über diese Malware wird in Form der Loader_90563_1.dll nun Emotet auf infizierte Systeme nachgeladen

Ja, und woher kommt diese dll?
Das verraten einem die "Experten" wohl nicht?

Wie ich das bei solchen Meldungen hasse das man verschweigt wo und auf welchem Weg man sich was einfangen könnte!
Ich rate mal auf eMail Anhang?
 
  • Gefällt mir
Reaktionen: iron-man, Delirus, DirtyHarryOne und 2 andere
@Wasserhuhn Ja, Quellcode ist da nicht ganz korrekt, habe ich angepasst. Danke
@leipziger1979 In dem Fall wird sie über die Trickbot-Malware geladen, die man sich natürlich irgendwie eingefangen haben muss, ja. Netzbetreiber können die jeweils bekannten Emotet command & control server blocken, dazu gibt es IP-Listen. Aber das ist eben auch nur reagieren, nachdem sie bekannt geworden sind.
 
  • Gefällt mir
Reaktionen: iron-man, Slayher666, Wolfpac und eine weitere Person
Das erklärt vermutlich auch die Spammails mit PDF Dokumenten die letzten 2 Wochen.
 
  • Gefällt mir
Reaktionen: Tzk
@leipziger1979 , @Frank
Beispiel für eine Trickbot-Malware des ebenfalls trockengelgten Zeus-Botnetzes die heute noch von "vertauenswürdigen" Internetseiten wie Chip.de verteilt werden.
Wenn man nach "MP4 Player" googelt, führt der erste Eintrag zu Chip.de.
Ich frage mich weshalb Chip anstelle einer stümperhaften Warnung die Software nicht einfach löscht.
Installiert man diesen mp4 Player auf einem Firmenrechner, wird das Rating des Internetanschlusses schlagartig schlechter und man wunder sich warum.
Nach Installation versucht der "MP4 Player" sofort den Zeus-Controlserver zu erreichen, um die eigentliche Schadsoftware nachzuladen.
Spreche aus Erfahrung!
Habe die Chip in einer Mail auch ausführlich darauf hingewiesen, Reaktion null.
Das war im Juni 2020, wühlt mich aber gerade wieder mächtig auf.
 
  • Gefällt mir
Reaktionen: Jarhead91, Tzk, GeCKo127 und 15 andere
leipziger1979 schrieb:
Ja, und woher kommt diese dll?
Das verraten einem die "Experten" wohl nicht?

Wie ich das bei solchen Meldungen hasse das man verschweigt wo und auf welchem Weg man sich was einfangen könnte!
Ich rate mal auf eMail Anhang?
Es war Makro, es ist Makro, und es bleibt Makro.
 
Project 2501 schrieb:
Was darf man darunter verstehen?
Internetanschlüsse von Firmen nutzen in der Regel feste öffentliche IP Adressen bzw. Adressblöcke, die sie für diverse Dienst nutzen. Beispiele dazu sind Mailserver, Webserver, VPN-Verbindung, Internetzugriff der Arbeitsplätze und viele mehr.
Es gibt Firmen wie bspw. BITSIGHT die Security Ratings für und über Firmen erstellen. Und das alleine aus Daten die sie von extern über ein Unternehmen sammeln können.
Dazu gehören bspw. Standorte, zugehörige IP-Adressen, welche Dienste betrieben werden, Personen, einfach alles.
Das ist echtes BigDATA!
Darüber hinaus wird bspw. über Honeypots oder Partnerunternehmen (ISPs etc.) geprüft, ob aus dem Unternehmensnetz heraus verdächtige Aktivitäten geschehen (Botnetzzugriffe, SPAMs, DoS Angriffe, etc.)
Sicherheitsscans gegen die ermittelten Dienste (Mail, FTP, Web, Firewall) gefahren und bewertet.

All diese Infos/Scores auf einem Zeitstrahl sagt viel darüber aus, wie sich ein Unternehmen um das Thema Sicherheit kümmert.

Ihr könnt euch nicht im geringsten vorstellen was da schon alles geht.
 
  • Gefällt mir
Reaktionen: Project 2501, Dabaur, Termy und 6 andere
Salutos schrieb:
All diese Infos/Scores auf einem Zeitstrahl sagt viel darüber aus, wie sich ein Unternehmen um das Thema Sicherheit kümmert.

Kann ich nur bestätigen. Wir hatten selbst mal das Problem, dass wir bei den großen Herstellern von Filtersystemen automatisch auf der Spam Liste gelandet sind weil das Marketing meinte, zu viele Mails verschicken zu müssen. Und das war eine legale Aktion über einen langen Zeitraum.

"Infizierte" Firmen können innerhalb von Stunden auf allen Blacklists der Welt landen. Und da wieder runter zu kommen ist meist unmöglich.
 
Das kann ich auch bestätigen.
Das Marketing meiner alten Firma war auch daran schuld und hat sogar noch einen Loop bei den Mails gebaut.:stock:
 
zEtTlAh schrieb:
Kann ich nur bestätigen. Wir hatten selbst mal das Problem, dass wir bei den großen Herstellern von Filtersystemen automatisch auf der Spam Liste gelandet sind weil das Marketing meinte, zu viele Mails verschicken zu müssen. Und das war eine legale Aktion über einen langen Zeitraum.

"Infizierte" Firmen können innerhalb von Stunden auf allen Blacklists der Welt landen. Und da wieder runter zu kommen ist meist unmöglich.
Von diesen Listen verschwindet man in der Regel automatisch, wenn das Fehlverhalten 24,48 oder mehr Stunden aufgehört hat. Ebenso kann man in der Regel eine Austragung beantragen.

Wer nicht im Spam landen möchte sollte das volle Programm auffahren. SPF, DMARC, DKIM. Wenn man einmal weiß wie, ist das auch ganz einfach.
 
  • Gefällt mir
Reaktionen: Project 2501, Volvo480, chartmix und 6 andere
Abschließende Ergänzung zum Thema Trickbot-Malware.
Trickbot-Malware findet man nicht nur in Software (meist freien Tools) für den Endanwender.
Eine Ebene höher in der Softwareentwicklung werden in Software-Repositories wie Github scheinbar nützliche Erweiterungen, PlugIns, auch Docker-Container, etc. feilgeboten, in und mit denen sich Schadcode verbreiten lässt und auch wird.
Nein, ich möchte damit nicht OpenSource Software oder die Community diskreditieren, halte sie für nützlich und wichtig. Aber die wenigen schwarzen Schafe können ordentlich Schaden anrichten.
 
  • Gefällt mir
Reaktionen: Gonzo28
  • Gefällt mir
Reaktionen: justFlow
BrollyLSSJ schrieb:
Das erklärt vermutlich auch die Spammails mit PDF Dokumenten die letzten 2 Wochen.
Ich hatte noch keine Zeit zum Lesen, ich bin noch bei den ganzen Media MArkt und Maazon Gutscheinen dran.
Und meine 5 Banken wollen was von mir, wobei ich ja nur bei zwei von denen einen Account besitze. ^^
 
  • Gefällt mir
Reaktionen: BrollyLSSJ
Gonzo28 schrieb:
Wer nicht im Spam landen möchte sollte das volle Programm auffahren. SPF, DMARC, DKIM. Wenn man einmal weiß wie, ist das auch ganz einfach.
SPF, DMARC,DKIM sind für viele selbst heute noch spanische Dörfer.
Und ja, ist alles einfach zu konfigurieren.
 
  • Gefällt mir
Reaktionen: Gonzo28
Zurück
Oben