UPS Fake Email

[robbys22]

Hallo,
heute morgen hat mein Freund eine Email von UPS bekommen, dass ein Paket nicht angekommen sei. Im Anhang war eine .zip - Datei.
Mein Freund hat diese geöffnet und schon war er infiziert mit mehreren Viren.

"-netstat -a" hat nix auffälliges gezeigt bis auf das hier:
[fe80::f4a0:259e:b35c:c331%11]:546
[fe80::f4a0:259e:b35c:c331%11]:1900

Nach einem Neustart des PCs hat er mich um Hilfe gefragt, da die Windows (7) Startleiste nicht mehr da war und nur ein Fenster mit "Dokumente" geöffnet wurde.

Ich hab erst mal die explorer.exe neugestartet -> ging wieder.
Dann wollte ich Antivir starten -> ging nicht.
Ich hab erstmal I-net verbindung getrennt und dann Spyware Doctor installiert.
Der hat dann gleichen mind. 37 Funde gehabt, die ich auch gleich gelöscht hab.

1. Das Problem ist jetzt, dass ich immer noch 3 Viren finde, die nicht gelöscht werden wollen, weil sie immer wieder kommen. Wie bekomm ich die am besten los?
2. Der Typ, dem die Viren gehörten hatte 1h Zeit sich zB PWs zu stealen (Freund hat die wichtigsten PWs schon gechanged). Konnte er in der Zeit vlt Konto-Daten stehlen o.a.?
3. Die Email mit der zip hab ich noch, ist die vlt iwie hilfreich um irgentwas zurück zu verfolgen? Geht das?

// sry musste noch ein bisschen editieren

[c1ox]

Und was willst du uns damit jetzt sagen?
Sind die Probleme behoben, oder was willst du von uns?
Edit: Waah =/ Jetzt steht mehr da
Ich würde einfach formatieren. Zurückverfolgen wirst du da nichts können, ich denke er ist jetzt Teil eines Botnets. ;>
Formatieren wäre die schnellste und einfachste möglichkeit.

[Atropos]

Kontodaten werden normal per Https-Injection gestohlen.
Also du machst online-banking und er lauscht mit und kriegt somit die Daten (verinfacht gesagt, in der Praxis ist das etwas komplizierter).
Die Internetbanking Daten sind ja hoffentlich nicht gespeichert

[robbys22]

OK, er hat jetzt formatiert und neuinstalliert.

Und man kann das mit der Email oder dem Virus nicht (über IP oder so) zurückverfolgen?

[Rec.127]

Gefakte UPS-Mail? Riecht nach ZeuS...und nein bei sowas kannst du nichts zurückverfolgen bzw. falls dus versuchst landest du irgendwo in Russland, Ukraine und ab da is Sendepause

MfG

[c1ox]

Du denkst also das die Person die Email von seiner richtigen IP, bzw per Hand geschrieben/geschickt hat?
Sicherlich nicht...

[novaca!ne]

"-netstat -a" hat nix auffälliges gezeigt bis auf das hier:
[fe80::f4a0:259e:b35c:c331%11]:546
[fe80::f4a0:259e:b35c:c331%11]:1900

Das ist doch genial !
Ein IPv6 server.. sehe sowas zum ersten mal bei malware.

Das dient gut der Obfuscation, denn an diesem Punkt würden pseudo PC-freaks und Malware entferner denken "the fuck? o0"

[krypt0n]

IP des senders steht in den Email Headern. Du könntest das Teil mal auf ne VM loslassen und dann ausserhalb den ganzen Traffic der VM mitsniffen. Wahrscheinlich komsmt du darüber aber nur an den Server des Webpanels womit du eigentlich nich wirklich was anfangen kannst.

[robbys22]

Du denkst also das die Person die Email von seiner richtigen IP, bzw per Hand geschrieben/geschickt hat?
Sicherlich nicht...

Denk ich auch nicht, aber vielleicht gäbs ja irgendwelche Möglichkeiten, die ich nicht kenne^^

Das ist doch genial !
Ein IPv6 server.. sehe sowas zum ersten mal bei malware.

Das dient gut der Obfuscation, denn an diesem Punkt würden pseudo PC-freaks und Malware entferner denken "the fuck? o0"

ähm ja^^, ich verstehe kein Wort :o
So eine Art IP, die mehr Zeichen hat und/oder verschlüsselt ist?

IP des senders steht in den Email Headern. Du könntest das Teil mal auf ne VM loslassen und dann ausserhalb den ganzen Traffic der VM mitsniffen. Wahrscheinlich komsmt du darüber aber nur an den Server des Webpanels womit du eigentlich nich wirklich was anfangen kannst.

Ja, darum versuch ichs jetzt gar nicht, hat wahrscheinlich sowie so keinen Sinn

[novaca!ne]

Das ist eigentlich das neue standart der ip adressen, denn die jetzigen ipadressen werden irgendwann ausgehen.