Forum: Offtopic Spam-Mail mit bösartiger Fracht

Auf das ZIP File klicken und damit öffnen, dann auf den Inhalt klicken. 
Fertig. Die Endung .js sieht er wahrscheinlich nicht, weil Microsoft 
sowas seit langem ausblendet, um es den Schädlingen leichter zu machen.

Bei der Welle vor ein paar Wochen waren Files drin, bei denen man sich 
schon fragt, wieviel Hirn ein Systementwickler erst einmal reinstecken 
muss, um darin überhaupt ausführbaren Code zu finden.

Allerdings sind die Ransomware-Mails mittlerweise meist viel besser, als 
du beschreibst. Nämlich in gutem Deutsch recht effektiv formuliert.

Muss ja auch nicht jeder draufklicken. Ab und und zu mal einer reicht 
aus. Müssen nur genug sein, um die Investition ins Botnet wieder rein zu 
holen, oder andererseits ein ausreichend grosses Botnet aufzubauen, um 
es als Dienstleister anbieten zu können.

Uhu U. schrieb:
> wiekann denn ein .js-File aus einem .zip-Archiv in einer Mail
> ausgeführt werden

Meldungen zu Locky in den letzten Wochen nicht gelesen? Das schrottige 
Windows führt den JS-Müll über den "Windows Script Host" aus.
https://de.wikipedia.org/wiki/Locky

A. K. schrieb:
> weil Microsoft sowas seit langem ausblendet, um es den Schädlingen
> leichter zu machen.

O ja, das machen die Arschlöcher(!) auch in Windows 10 munter weiter so. 
Naja, Windows muss natürlich kompatibel sein, und auch die API für das 
Einbringen von Schadsoftware darf sich nicht zu sehr zwischen den 
verschiedenen Windows-Versionen ändern, sonst müssten die 
Schadsoftwareproduzenten ja zu viel an ihren Produkten anpassen, und das 
wollen wir ja wohl nicht, was das an Arbeit kosten würde ...

Rufus Τ. F. schrieb:
> Arschlöcher(!)

Meine Güte, wen's stört, der kann's umschalten.
Geht beim Pinguin sicher auch.

Jeder soll mit dem System glücklich werden, mit dem er arbeiten kann.
Wenn jeder DAU Linux nutzen würde ... wir Nerds würden wohl auf Mac 
ausweichen, einfach um wieder sagen zu können "damit kenne ich mich 
leider nicht aus; nimm doch ein richtiges OS".

Lukas T. schrieb:
> Meine Güte, wen's stört, der kann's umschalten.

Tja, aber genau die Leute, die es nicht stört, sind dann auch die, die 
eine bild.jpg.exe anklicken, weil sie ihnen als bild.jpg angezeigt wird. 
Obwohl ihnen beim Computerkurs für Anfänger eingetrichtert wurde, keine 
unbekannte exe auszuführen.

Lukas T. schrieb:
> Jeder soll mit dem System glücklich werden, mit dem er arbeiten kann.
> Wenn jeder DAU Linux nutzen würde ... wir Nerds würden wohl auf Mac
> ausweichen, einfach um wieder sagen zu können "damit kenne ich mich
> leider nicht aus; nimm doch ein richtiges OS".

Themenverfehlung, 6.
Es ging darum, dass Windows seit mindestens XP die Dateierweiterungen 
per default ausblendet, obwohl weithin bekannt ist, dass dieser Umstand 
ausgenutzt wird.

Lukas T. schrieb:
> Meine Güte, wen's stört, der kann's umschalten.

Du kapierst nichts. Die Defaulteinstellung ist die 
Schadsoftwareunterstützung.

Wer das unbedingt haben will, soll es aktiv selbst einstellen müssen, 
nicht andersherum.

Rufus Τ. F. schrieb:
> Du kapierst nichts. Die Defaulteinstellung ist die
> Schadsoftwareunterstützung.
>
> Wer das unbedingt haben will, soll es aktiv selbst einstellen müssen,
> nicht andersherum.

Rufus Τ. F. schrieb:
> O ja, das machen die Arschlöcher(!) auch in Windows 10 munter weiter so.

Meine vollste Zustimmung, besonders für die Arschlöcher.

Grüße
Richard

Lukas T. schrieb:
> Geht beim Pinguin sicher auch.

Nein. Den Unsinn gibts dort einfach nicht. Dateinamen werden so 
angezeigt, wie das Dateisystem sie kennt.

Uhu U. schrieb:
> Nein. Den Unsinn gibts dort einfach nicht. Dateinamen werden so
> angezeigt, wie das Dateisystem sie kennt.

quark

.namen werden default nicht angezeigt, das muss ich erst aktivieren.

Ich wundere mich jedesmal wo diese Dateien stecken

Joachim B. schrieb:
> Uhu U. schrieb:
>> Nein. Den Unsinn gibts dort einfach nicht. Dateinamen werden so
>> angezeigt, wie das Dateisystem sie kennt.
>
> quark
>
> .namen werden default nicht angezeigt, das muss ich erst aktivieren.

Das ist doch aber etwas völlig anderes, als nur die Hälfte eines
Dateinamens anzuzeigen.

Dotfiles werden typischerweise als “hidden” angesehen (auch “ls”
zeigt sie normalerweise nicht an), da darin Konfigurationsdaten
etc. gespeichert sind.

Davon, dass dir bestimmte Dateien ausgeblendet werden, wirst du aber
(anders als bei den ausgeblendeten Endungen, um die es hier geht)
nicht dazu verleitet, diese irrtümlich auszuführen.  Das ist doch
das Sicherheitsloch.

Jörg W. schrieb:
> Davon, dass dir bestimmte Dateien ausgeblendet werden, wirst du aber
> (anders als bei den ausgeblendeten Endungen, um die es hier geht)
> nicht dazu verleitet, diese irrtümlich auszuführen.  Das ist doch
> das Sicherheitsloch.

und das ist bei Linux besser?

ausführbare Dateien ohn Endung, ich sehe selten bis nir ob es Sub Dirs 
sind oder Dateien. Ob es bin oder bash sind.

Ach vielleicht bin ich schon win verdorben obwohl ich mit cmd 
aufgewachsen bin.

Joachim B. schrieb:

> und das ist bei Linux besser?

Das hat erstmal nichts mit „Linux“ zu tun, sondern mit dem benutzten
Dateimanager.  (Könnte man Gnome auch unter Windows laufen lassen? ;-)

> ausführbare Dateien ohn Endung, ich sehe selten bis nir ob es Sub Dirs
> sind oder Dateien.

Ich kenne keinen grafischen Dateimanager, bei dem man Dateien und
Verzeichnisse nicht deutlich auseinander halten kann.  Wenn du
Kommandozeilennutzer bist, dann wäre der Klassiker, dass man sich
„ls“ als „ls -F“ aliast.  (Die vielen bunten Farben in den meisten
Linux-Konfigurationen wiederum kann ich mental nicht zuordnen.)

Ausführbar wiederum muss man Dateien erstmal machen.  Wenn ich sie
nur aus dem Mailer ablege, ist sie dank fehlenden Ausführungsrechts
nicht direkt ausführbar.

> Ob es bin oder bash sind.

Das ist ja auch völlig egal.  Wäre erst von Interesse, wenn man sie
sich mit einem Editor ansehen will.

Ich habe mir das Teil mal genauer angesehen und den URL extrahiert, von 
dem die nächste Stufe Malware herunter geladen wird:

http://breechdepot.com/image/fla*gs/.../a.exe (Der Stern gehört nicht 
dazu!)

a.exe wird auf Virustotal von nur 5 Scannern als Malware klassifiziert.

und was macht a.exe? Schon mal probiert ?  ;-)

Hab keinen Windowsrechner ;-)

Jens G. schrieb:
> und was macht a.exe? Schon mal probiert ?  ;-)

Lädt bestimmt im Hintergrund Ubuntu runter...
;-)

MfG Paul

Vielleicht hat ein Genie der Oberfläche in Ubuntu eine kleine Automatik 
eingebaut. Die merkt, dass dafür WINE gebraucht wird startet es darüber.

>Vielleicht hat ein Genie der Oberfläche in Ubuntu eine kleine Automatik
>eingebaut. Die merkt, dass dafür WINE gebraucht wird startet es darüber.

Und wenn a.exe sogar funktioniert, dann wissen wir, daß Ubuntu auch nur 
ein Windows ist ;-)

A. K. schrieb:
> Die merkt, dass dafür WINE gebraucht wird startet es darüber.

Wine ist nicht gerade bekannt dafür, beliebige Windows-Software unter 
Linux zum Laufen zu bekommen - hier könnte man evtl. die Bugs zum 
Feature umdeklarieren.