Kennt jemand rechnung.scr ?

Internet Internet Sicherheit
#1

Moinmoin Jungens und Mädelz,

ich habe heute, an meine Freenet-Mailadresse, die Mitteilung bekommen, dass mir in Kürze ein Kärcher Waschsauger geliefert wird.

Im Anhang befindet sich eine Rechnung.zip mit dem Inhalt rechnung.scr

Ich bekomme relativ selten Viren per Mail zugeschickt, vielleicht einmal pro Quartal. Daher ist es neu für mich, dass Viren über den Screensaver installiert werden. Scheint ja wohl denn wohl möglich zu sein.

Hat sich schonmal jemand den rechnung.scr näher angesehen?

Da ich grad etwas neugierig bin, werd ich mal schnell ein virtuelles XP aufsetzen und den rechnung.scr darin starten. Mal sehen was der so macht und wie man den wieder loswerden kann.

LG
pep-it

#2

Hallo pep-it,

Daher ist es neu für mich, dass
Viren über den Screensaver installiert werden. Scheint ja wohl
denn wohl möglich zu sein.

Oooch, das ist ein schon ganz alter Trick. Der war mal unter Win 95 aktuell.

MfG Peter(TOO)

#3

ich habe heute, an meine Freenet-Mailadresse, die Mitteilung
bekommen, dass mir in Kürze ein Kärcher Waschsauger geliefert
wird.

Ja so ein Zufall! Scheinbar habe auch ich kürzlich einen Kärcher gekauft!

Da ich grad etwas neugierig bin, werd ich mal schnell ein
virtuelles XP aufsetzen und den rechnung.scr darin starten.
Mal sehen was der so macht und wie man den wieder loswerden
kann.

Da wirst du wohl auf den ersten Blick nicht viel zu sehen bekommen. Ist ein Downloader, der die schon länger bekannte Backdoor ‚Andromeda‘ installiert.

Gruß

#4

Moinmoin,

Da ich grad etwas neugierig bin, werd ich mal schnell ein
virtuelles XP aufsetzen und den rechnung.scr darin starten.
Mal sehen was der so macht und wie man den wieder loswerden
kann.

Da wirst du wohl auf den ersten Blick nicht viel zu sehen
bekommen. Ist ein Downloader, der die schon länger bekannte
Backdoor ‚Andromeda‘ installiert.

Kann ich soweit bestätigen, findet man im I-Net.

Ich möchte erstmal vorausschicken, dass ich nur noch mit virtuellen BS arbeite, nur zum leichteren Verständnis. Im Laufe der Jahre habe ich Lizenzen für die wichtigsten BS erworben, so dass ich viel experimentieren kann.

Ich hatte die rechnung.zip zuerst auf meinem virtuellen Arbeitssystem ausgepackt. Dass weder Avast, noch MSSE reagiert haben, stimmt mich etwas bedenklich.

Dann hatte ich ein virtuelles XP kopiert, vom I-Net abgestöpselt und die rechnung.scr gestartet. Die rechnung.scr ist aus dem Installationsordner verschwunden und hat sich im Ordner Windows/prefetch eingenistet. MSSE hat keine Meldung gemacht. Schade auch. Unnötig zu sagen, dass das virt. XP bereits wieder gelöscht ist.

Unter Win7 wird es aber interessant. Der MSSE vom virt. Win7 hat sich gemeldet. Endlich mal ein Virenscanner, der was merkt. Ich hab rechnung.scr erlaubt sich zu installieren. Der hat dann doch tatsächlich einen (funktionsuntüchtigen) Bildschirmschoner installiert.

Da sonst nichts interessantes mehr passiert ist, hab ich auch dieses virt. BS gelöscht und die Sonne im Garten genossen :smile:

Liebe Grüße
pep-it

#5

Mit Win95 hab ich nicht gearbeitet, war mir zu instabil. Bin gleich von DOS auf 98se gegangen :smile:.

#6

Hallo

Im Anhang befindet sich eine Rechnung.zip mit dem Inhalt
rechnung.scr

Da ist eigentlich ohne jeglichen Zweifel klar, dass das ein Schädling ist. Ungeöffnet löschen und gut ist.

Ich bekomme relativ selten Viren per Mail zugeschickt,
vielleicht einmal pro Quartal. Daher ist es neu für mich, dass
Viren über den Screensaver installiert werden. Scheint ja wohl
denn wohl möglich zu sein.

Es ist irrelevant, wie oft sowas bei Dir ankommt. Fakt ist, dass es tagtäglich tausende derartiger Mails gibt und dass leider nach wie vor zu viele Empfänger das Zeug ohne weiteres ausführt. Die meisten haben dann noch die Windows-Standardeinstellung, dass die Suffixe ausgeblendet werden. Aber selbst wenn, wüssten sie wohl nicht, was ‚.scr‘ für ein Dateityp ist.

Dass der Schädling mit ‚.scr‘ daherkommt, ist keineswegs neu oder aussergewöhnlich. Es handelt sich dabei schlicht um einen der vielen Dateitypen, die unter Windows ausführbar sind.

Hat sich schonmal jemand den rechnung.scr näher angesehen?

Brauch ich nicht. Ich weiss, dass es ein Schädling ist. Welcher es genau ist, spielt für mich keine Rolle.

Mal sehen was der so macht und wie man den wieder loswerden
kann.

Loswerden immer mit Flach machen und neu aufsetzen. Aber besser gar nicht erst ausführen, dann spart man sich das.

CU
Peter

#7

Moinmoin,

lieber Peter,

versuch doch mal bitte den Text nicht Wort für Wort zu lesen, sondern als Ganzes, und versuch bitte den Inhalt zu verstehen. Du beantwortest eine Frage, die gaarnicht gestellt wurde.

Liebe Grüße
pep-it