Spam-Mail - aktuelles GIF-Exploit?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von °EraZoR°, 31. Januar 2013 .

Schlagworte:
  1. 31. Januar 2013
    Moin,

    Ein Arbeitskollege hat gestern eine angebliche Rechnung der Telekom bekommen..
    Im Anfang war ein PDF, dass als Virus gekennzeichnet wurde..

    Habe das PDF von Wepawet » Home analysieren lassen..
    Durch das PDF wird eine EXE geladen, die dann über ein PHP-Script ein GIF-Bild von einem Server lad.

    Das GIF jedoch ist 1x1 Pixel groß und transparent..
    Es ist auch nicht sehr groß unter 100kb).


    Jetzt zur Frage:
    Gibt es aktuell ein GIF Exploit?
    Habe gegooglet, aber nur Ergebnisse von 2000 bis 2008 gefunden..


    Werde die PDF und das GIF heute Nachmittag evtl mal hochladen..

    Gruß
    °EraZoR°
     
    + Multi-Zitat Zitieren
  3. 31. Januar 2013
    AW: Spam-Mail - aktuelles GIF-Exploit?

    warum läd er denn erst eine exe, die dann ein gif läd? das verstehe ich nicht, dann kann ers doch gleich bei der exe belassen.
     
    + Multi-Zitat Zitieren
  4. 31. Januar 2013
    AW: Spam-Mail - aktuelles GIF-Exploit?

    Das Gif-Bild ist bestimmt nur zum Tracking, also z.B. um zu zählen, wie oft die exe ausgeführt wurde (und damit der Exploit erfolgreich war).

    Gabs früher auch direkt in Emails als Tracking-Pixel. Ist zwar irgendwie merkwürdig in diesem Kontext, aber das ist mir jezt spontan dazu eingefallen.
     
    + Multi-Zitat Zitieren
  5. 31. Januar 2013
    AW: Spam-Mail - aktuelles GIF-Exploit?

    Die eigentlcihe Payload is idR in der exe. Wenn du mal die pdf hochladen würdest kann ich dir genaueres sagen ^^
     
    + Multi-Zitat Zitieren
  6. 31. Januar 2013
    AW: Spam-Mail - aktuelles GIF-Exploit?

    Denke ich auch. Es geht einfach darum festzustellen ob die E-Mail Adresse an sich gültig ist bzw. die E-Mail entsprechend geparsed wurde. Das Nachladen von irgendwelchen 1px Grafiken eignet sich dafür relativ gut.
     
    + Multi-Zitat Zitieren
  7. 31. Januar 2013
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Spam-Mail - aktuelles GIF-Exploit?

    Mmh macht natürlich Sinn..
    Hab da wohl nicht richtig gedacht..

    Hier das PDF:
    Download: RE844739DE8487.pdf.tar.gz | www.xup.in (Ich übernehme keine Haftung, falls jmd. sich da irgendeinen Schrott einfängt!)

    Wollte eigtl auch die Analysen posten, aber die Systeme von iseclab haben wohl grade Probleme..
     
    + Multi-Zitat Zitieren
  8. 1. Februar 2013
    Zuletzt von einem Moderator bearbeitet: 19. Februar 2013
    AW: Spam-Mail - aktuelles GIF-Exploit?

    diese exe zieht er sich dann

    Vorsicht! Maleware
    Spoiler
    [noparse]http://variolease.de/images/agb/agb.exe[/noparse]
     
    + Multi-Zitat Zitieren
  9. 2. Februar 2013
    AW: Spam-Mail - aktuelles GIF-Exploit?

    Jop..

    Wepawet » JavaScript Report for 1d437e55de22e708703d5273bec94d1d

    Da ist die Analse der PDF drin.
    Und die Analse der EXE(n) die runtergeladen werden..
    Die EXE die du meinst, läd wiederum das 1x1 GIF runter..
     
    + Multi-Zitat Zitieren
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten