Spam Mail Link geöffnet

[Charly.W]

Hallo,

hab vorhin eine Nachricht von einer lieben Freundin erhalten, von der ich lange nichts mehr gehört habe, weshalb ich mich über die Mail freute ohne genau hinzuschauen und leider den folgenden Link öffnete.

Da hier Links nicht erlaubt sind gebe ich die Adresse verschlüsselt an, was hoffentlich so ok ist .

b i t Punkt l y / * * * * * * [URL vom Mod geaendert, da Schadsoftware nachgeladen werden koennte]

Kennt den vielleicht jemand von Euch und weiß ob das Anklicken des Links ein Problem für mein System sein könnte ?
Viren- + Defender Scann zeigten keine Bedrohung auf.

Über eine Rückmeldung würde ich mich sehr freuen.

Danke im Voraus
Charly

 

[Dr. McCoy]

In welchem Browser hast Du den Link geöffnet? Hast Du veraltete Software auf Deinem System, oder ist alles schön aktuell?

b i t Punkt l y / * * * *

Die Zeichenfolge stimmt nicht. Schau bitte nochmal genau nach und poste, erneut mit Abständen dazwischen, die korrekte URL!

 

[catch 22]

hinter bit.ly Links kann alles Mögliche stecken, da Bitly ein Dienst ist, über den Ellen lange Webadressen verkürzt dargestellt werden können

 

[seven21075]

Würde mir keine Sorgen machen. Solange du nichts runtergeladen/installiert hast und auch keine persönlichen Daten eingegeben hast (Phishing) sollte alles okay sein.

Gut dass Du schon einen Anti-Viren-Check durchgeführt hast 👍

 

[Dr. McCoy]

Es ist zwar durchaus so, dass explizite Phshing-Mails auch wirklich nur auf die manuelle Dateneingabe des Nutzers (Empfängers) abzielen und sonst keinen Schaden verursachen würden.

Leider gibt es aber auch Spam-Mails mit Links darin, die zu präparierten Webseites für Drive-by-Infektionen führen. Ebenso gibt es Spam-E-Mails, die selbst Drive-by-Infektionen in sich tragen und bei falscher Konfiguration des E-Mail-Programmes oder Sicherheitslücken in System oder Browser, bereits durch ein Öffnen einer E-Mail im HTML-Format und ggf. mit aktivierten Scripten, eine Infektion herbeiführen können.

 

[Charly.W]

Danke für die schnellen und erst mal beruhigenden Antworten .

Nach Anklicken des Links öffnete sich eine Seite. Als ich irgendwas mit Bitcoins las, war mir klar, dass ich da falsch bin, habe die Seite gleich wieder geschlossen und den Rechner erst mal vom Netz genommen. Runtergeladen, installiert oder Daten eingegeben habe ich nichts.

Die genaue URL lautet:

b i t . l y / * * * * * [URL vom Mod geaendert, da Schadsoftware nachgeladen werden koennte]

Nach dem Namen meiner Freundin wird folgende Mail Adresse angegeben:

calabartx ät startimes . com . ng

Geöffnet habe ich die Seite mit OPERA. Sicherheitsupdates macht mein System regelmäßig. Von einer überalterten Software ist mir nichts bekannt.

 

[Dr. McCoy]

Hier sieht man sehr schön, wie verschachtelt und weitläufig die Weiterleitungen erfolgen -- damit meine ich nicht "b*t.ly", das ist ohnehin ein Kurz-URL-Dienst, der zu beliebigen URLs hin auflösen kann, sondern ich meinte damit die verschiedenen URLs der Spammer:

:~$ wget b*t.ly/**WhFBj
--2021-10-09 02:02:23--  http://b*t.ly/**WhFBj
Auflösen des Hostnamens b*t.ly (b*t.ly) … **.199.248.10, **.199.248.11
Verbindungsaufbau zu b*t.ly (b*t.ly)|**.199.248.10|:80... verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: http://**g7h.**comesubject.link/48c4d5685953567d?affsub2=ST&st=6-10-2021 [folgend]
--2021-10-09 02:02:23--  http://**g7h.**comesubject.link/48c4d5685953567d?affsub2=ST&st=6-10-2021
Auflösen des Hostnamens **g7h.**comesubject.link (**g7h.becomesubject.link) … **5.98.87.176
Verbindungsaufbau zu **g7h.**comesubject.link (**g7h.**comesubject.link)|**5.98.87.176|:80... verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 302 Found
Platz: http://**pde.**winncodesystem.**eanerleft.link/vip/DE/3792?affsub2=ST&st=6-10-2021 [folgend]
--2021-10-09 02:02:23--  http://**pde.**winncodesystem.**eanerleft.link/vip/DE/3792?affsub2=ST&st=6-10-2021
Auflösen des Hostnamens **pde.**winncodesystem.**eanerleft.link (**pde.**winncodesystem.**eanerleft.link) … **.135.233.72
Verbindungsaufbau zu **pde.**winncodesystem.**eanerleft.link (**pde.**winncodesystem.**eanerleft.link)|**.135.233.72|:80... verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: http://**pde.**winncodesystem.**eanerleft.link/vip/DE/3792/?affsub2=ST&st=6-10-2021 [folgend]
--2021-10-09 02:02:24--  http://**pde.**winncodesystem.**eanerleft.link/vip/DE/3792/?affsub2=ST&st=6-10-2021
Verbindungsaufbau zu **pde.**winncodesystem.**eanerleft.link (**pde.**winncodesystem.**eanerleft.link)|**.135.233.72|:80... verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: 30939 (30K) [text/html]
Wird in »**WhFBj« gespeichert.

**WhFBj             100%[===================>]  30,21K  --.-KB/s    in 0,06s  

2021-10-09 02:02:24 (507 KB/s) - »2ZWhFBj« gespeichert [30939/30939]

Ich habe dabei bewusst die URLs teilweise ausgesternt, weil nicht auszuschließen sondern sogar wahrscheinlich ist, dass von den einzelnen Seiten in der Tat Malware verbreitet wird.

 

[Charly.W]

Danke, für die Info. Was bedeutet das bitte konkret und was kann ich dagegen machen ?

Könnte da vielleicht z.B.
Malwarebytes-Malware-Scanner_27322637.html
bei der Problemlösung nützlich sein ?

 

[Dr. McCoy]

Und siehe da, es wird über Scripte sogar diese Malware geladen:
-> https://www.virustotal.com/gui/file...25142a65ffc24d1c068dca7443b0a663863?nocache=1

Einiges spricht dafür, dass es sich um ein Exploit-Kit bzw. einen Trojan-Dropper handelt. An Mitlesende: Diese Seiten also bitte nicht aufrufen! Ich habe hier lediglich via wegt in einer virtuellen Maschine unter einem Linux einzelne Verweise aufgerufen und mir genauer angesehen, sie aber nicht im Browser geöffnet!

 

[Charly.W]

Der vollständige Virenscann ist zwischenzeitlich beendet und zeigte folgende Bedrohung auf:

App: Chip_Updater Bandlelnetalker.

Weiß jemand von Euch was das bedeutet ?

 

[BFF]

Zu spaet. Hab da schon mit aufgerufen. Natuerlich in einer VM und unter Linux. @Dr. McCoy

@Charly.W
Dagegen machen kannst Du nichts, ausser keine Links in Mails anklicken. Egal von wem die sind.
In Deinem Fall gehe ich davon aus, das die Mail garnicht von Deiner Freundin stammte.

Die App da duerfte der Updater zum Chipinstaller sein.
Hattest Du von denen (Chip) mal was per Chipinstaller geladen?

 

[Dr. McCoy]

Das hat hiermit nichts zu tun, das ist der CHIP Installer. Das ist eine andere Baustelle.

Jetzt im Nachgang betrachtet wäre es gut, wenn Du den Link hier...
https://www.computerbase.de/forum/threads/spam-mail-link-geoeffnet.2046141/post-26113731

... wieder herauseditieren bzw. zumindest aussternen könntest. Manch ein Neugieriger ruft den Link vielleicht trotz Warnung dennoch auf, hat vielleicht ein verwundbares System mit ungepflegter Software, und schon ist das Kind in den Brunnen gefallen.

Zu spaet. Hab da schon mit aufgerufen. Natuerlich in einer VM und unter Linux. @Dr. McCoy

Naja, bei Dir oder anderen versierten hiesigen Nutzern mache ich mir da keine Sorgen, es sind vielmehr übermütige Mitlesende mit vielleicht zu großem Vertrauen in ihren Virenscanner.

 

[BFF]

Hab die URL geaendert.

 

[CrucialValue]

Entfernt.

Sicher dass es "die Freundin" auch war? Wieso sollte sie dir dann solchen Link schicken?

 

[Charly.W]

Sicher dass es "die Freundin" auch war? Wieso sollte sie dir dann solchen Link schicken?

Ich hatte mich vorhin falsch ausgedrückt.

Richtig ist ... Ich erhielt eine Nachricht mit dem Namen einer Freundin. ...

 

[Charly.W]

Neue Bedrohung.

Hab eben die Meldung bekommen, dass eine neue Bedrohung gefunden wurde.
PUA:WIN 32/Piriform Bundler.

Weiß jemand von Euch, wie gefährlich das sei kann und wie ich dieses Problem lösen kann, ohne das System neu aufzuspielen ?

Danke im Voraus
Charly.W

 

[Dr. McCoy]

Auch dies hat nichts mit der Spam-Mail zu tun. Vielmehr scheinst Du Cleaner einzusetzen, die ziemlich sinnfrei sind. Darauf weist diese Meldung hin.

Zufällig CCleaner im Einsatz oder heruntergeladen?


Ich fasse die für Dich wichtigen Punkte nochmal zusammen:

• Gesamte Software stets tagesaktuell halten!
• E-Mails von bekannten Absendern können genauso Spam- und Malware-Ursachen haben (und somit Malware verbreiten) wie E-Mails von unbekannten Absendern!
• Das Betrachten von E-Mails zunächst im Nur-Text-Format kann helfen, Phishing oder andere optische Tricks gar nicht erst wirksam werden zu lassen.
• Wenn auch nur der geringste Zweifel besteht, jegliches Klicken auf Links oder Anhänge unbedingt unterlassen und z.B. erstmal beim Absender rückfragen, was er damit bezweckt.
• Virenscanner können zwar ergänzend verwendet werden, sie dürfen aber nicht dafür herangezogen werden, um die Aussage zu treffen, dass ein System nicht kompromittiert ist. Es kommt also auf eine realistische Einschätzung durch den Nutzer im täglichen Betrieb an, einer diesbezüglichen Risikokompensation ist somit vorzubeugen.

• Unabhängig von den E-Mails, zu Deinem anderen Problem: Achte auf Downloadquellen, wenn Du Software lädst: Nimm die Herstellerseiten!
• Informiere Dich vor Downloads von Programmen, ob diese auch bei Bezug über die Herstellerseiten Träger von Adware sind!
• Verzichte im Eigeninteresse auf konflikt-erhöhende Zusatzsoftware wie z.B. diverse Cleaner-Tools, die nicht zuletzt auch die Registry tangieren.
• Grundsätzlich gilt: Weniger ist mehr! Beschränke Dich auf absolut benötigte Software. Dein System wird es Dir mit Stabilität und Zuverlässigkeit danken!

Und für den absoluten Fall der Fälle:

Weiß jemand von Euch, wie gefährlich das sei kann und wie ich dieses Problem lösen kann, ohne das System neu aufzuspielen ?

Regelmäßig extern Sicherungsimages anlegen! Dann braucht es im Extremfall keine Neuinstallation, sondern einfach ein Rücksichern eines funktionierenden Zustands innerhalb weniger (dutzend) Minuten.

 

[BenQuak]

Der vollständige Virenscann ist zwischenzeitlich beendet und zeigte folgende Bedrohung auf:

App: Chip_Updater Bandlelnetalker.

Weiß jemand von Euch was das bedeutet ?

Software von Chip.de

 

[Charly.W]

Hi Dr. McCoy, das ist ja mal eine gute Nachricht. so früh am Morgen. Ich habe in der Tat den CCleaner der sich gestern aktualisiert hat.

Bedeutet das vielleicht, dass diesbezüglich kein Handlungsbedarf besteht und was meinst Du bitte mit:
Cleaner Einsatz ist ziemlich sinnfrei ?

Guten Morgen und herzliche Grüße
Charly

 

[Dr. McCoy]

Bedeutet das vielleicht, dass diesbezüglich kein Handlungsbedarf besteht und was meinst Du bitte mit:
Cleaner Einsatz ist ziemlich sinnfrei ?

Ich hatte parallel gerade den Beitrag durch Spiegelpunkte erweitert, der frühen Stunde geschuldet war ich dabei wohl etwas zu langsam. Schau nochmal nach oben, damit sollte sich das beantworten.