Aktuelle Trojaner und Viren Word Dateien als Mailanhang

To: debian-user-german@lists.debian.org
Subject: Aktuelle Trojaner und Viren Word Dateien als Mailanhang
From: Manfred Rebentisch <debianlist@comparat.de>
Date: Tue, 19 Jan 2016 22:24:16 +0100
Message-id: <[🔎] 569EA980.8060107@comparat.de>

Hallo,
ich bekomme sehr viele Mails mit Rechnungen im WordFormat. Ich lösche
die natürlich ungelesen.
Aber ein Kunde mit neuer Domain bekam solche Mails zu Hauf gleich an die
neue Domain und hat gleich auf zwei dieser Anhänge geklickt.

Er bekam allerdings die Meldung, dass die Datei schreibgeschützt sei und
konnte sie nicht ganz öffnen. Nun weiß ich nicht, ob da trotzdem schon
Schadcode ausgeführt werden konnte.

Habe unter http://spam.tamagothi.de/tag/rechnung/ gelesen, dass einige
dieser Datei nicht ganz korrekt im Header sind. Das kann raffinierte
Absicht sein.

Der Hexdump vom Dateianfang (blöd wegen der Spaltenbreite):

$ hexdump -C rechnung.kd-8356624.doc
00000000  6a 68 67 34 33 33 47 67  75 69 62 20 48 4a 47 56  |jhg433Gguib
HJGV|
00000010  48 4a 56 20 4b 53 44 46  0d 0a 4d 49 4d 45 2d 56  |HJV
KSDF..MIME-V|
00000020  65 72 73 69 6f 6e 3a 20  67 66 76 63 71 77 65 71  |ersion:
gfvcqweq|
00000030  32 33 64 20 48 49 57 49  55 20 47 55 49 57 45 44  |23d HIWIU
GUIWED|
00000040  51 57 44 0d 0a 43 6f 6e  74 65 6e 74 2d 54 79 70
|QWD..Content-Typ|
00000050  65 3a 20 6d 75 6c 74 69  70 61 72 74 2f 72 65 6c  |e:
multipart/rel|
00000060  61 74 65 64 3b 20 62 6f  75 6e 64 61 72 79 3d 22  |ated;
boundary="|
00000070  2d 2d 2d 2d 3d 5f 4e 65  78 74 50 61 72 74 5f 30
|----=_NextPart_0|
00000080  31 44 31 35 31 46 32 2e  33 43 34 35 44 35 30 30
|1D151F2.3C45D500|
00000090  22 0d 0a 0d 0a 79 75 66  67 76 42 20 47 20 69 20  |"....yufgvB
G i |
000000a0  67 76 69 75 42 4a 48 42  4a 4b 42 4b 4a 0d 0a 0d
|gviuBJHBJKBKJ...|
000000b0  0a 2d 2d 2d 2d 2d 2d 3d  5f 4e 65 78 74 50 61 72
|.------=_NextPar|
000000c0  74 5f 30 31 44 31 35 31  46 32 2e 33 43 34 35 44
|t_01D151F2.3C45D|
000000d0  35 30 30 0d 0a 43 6f 6e  74 65 6e 74 2d 4c 6f 63
|500..Content-Loc|
000000e0  61 74 69 6f 6e 3a 20 66  69 6c 65 3a 2f 2f 2f 43  |ation:
file:///C|
000000f0  3a 2f 32 36 38 32 35 34  38 32 2f 61 72 61 62 2e
|:/26825482/arab.|
00000100  68 74 6d 0d 0a 43 6f 6e  74 65 6e 74 2d 54 72 61
|htm..Content-Tra|
00000110  6e 73 66 65 72 2d 45 6e  63 6f 64 69 6e 67 3a 20
|nsfer-Encoding: |
00000120  71 75 6f 74 65 64 2d 70  72 69 6e 74 61 62 6c 65
|quoted-printable|
00000130  0d 0a 43 6f 6e 74 65 6e  74 2d 54 79 70 65 3a 20
|..Content-Type: |
00000140  74 65 78 74 2f 68 74 6d  6c 3b 20 63 68 61 72 73  |text/html;
chars|
00000150  65 74 3d 22 77 69 6e 64  6f 77 73 2d 31 32 35 31
|et="windows-1251|


Weiß jemand, wie sich das verhält?

Danke für einen Tipp!

Manfred

Reply to:

Follow-Ups:
- Re: Aktuelle Trojaner und Viren Word Dateien als Mailanhang
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: Aktuelle Trojaner und Viren Word Dateien als Mailanhang
  - From: Stefan Baur <newsgroups.mail2@stefanbaur.de>

Prev by Date: Re: [OT] mutt: Merkwürdige Darstellung des eigenen Absenders in der E-Mail-Übersicht
Next by Date: Re: Aktuelle Trojaner und Viren Word Dateien als Mailanhang
Previous by thread: Re: Apache2 Hilfe benötigt
Next by thread: Re: Aktuelle Trojaner und Viren Word Dateien als Mailanhang
Index(es):
- Date
- Thread