Sober.M - wie wird der code ausgeführt.

F

flame

0
Da ich in letzter zeit mit Sober.M bombadiert werde, frage ich mich, wie denn der Code eigentlich ausgeführt wird. denn die Mail kommt in einer zip-datei, und darin ist ledigtlich eine textdatei, mit zeichensalat enthalten.
Wie wird nun der bösartige code ausgeführt?
ist die zipdatei manipuliert und führt nebenbei code aus, oder ist es die textdatei, welche ja offensichtlich code enthält. aber wie funktioniert das ganze dann, denn wenn ich das ganze nur mit einem editor öffne wird doch eigentlcih nix ausgeführt.

hoffe ihr könnt mir helfen.
ich werd jetzt erstmal die leute aus meinem adressbuch auffordern, ihr system zu prüfen.
 
Kannst du mir die mal schicken (bitte das Zip in ein neues Zip mit PW packen, sonst wirds beim Provider gelöscht)

Würde mir das gern mal ansehen.
Gehe davon aus, dass die Textdatei keine Textdatei ist. Vermutlich doppelte Dateiendung mit entsprechendem Icon?

Die Zip-Datei dürfte nicht manipuliert sein.

Gruss

root
 
Ich lads auf mein webspace, is am einfachsten. wird sich schon keiner beschweren, von wegen Virenverbreitung

[edit] Habs jetzt auch gesehen, nach vielen leerzeichen kommt ein '.pif' das erklärt natürlich einiges *g*

aber falls es noch jemanden interressiert: http://files.afb-net.de/habo/zipped-text.zip

Achtung: ich weiße hier nochmal ausdrücklich darauf hin, dass es sich hier um einen Virus handelt, und der Download nur zu Forschungszwecken dient
[/edit]
 
Habs mal gesaugt.
Wenn du schreibst, dass ein pif am Ende kommt, erklärt das alles.

Der Trick ist einfach:
WinZip öffnet in einem kleinen Fenster und zeigt die wahre Endung an. Wenn man die Endung durch genügend Leerzeichen nach rechts verschiebt und ene doppelteangezeigt würde, wird diese ausgeblendet.

Der User entpackt die vermeintliche Textdatei und das wars. Er muss nur noch draufklicken.

Grüsse

root
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben