Adrian Sauer » Report

DHL/UPS Mails inkl. Trojaner unterwegs

Adrian — Mon, 01 Feb 2010 15:40:00 +0000

Vermehrt sind wieder DPHL/UPS Emails unterwegs, die im Anhang eines gepackten Archives einen Trojaner mit sich führen. Bei der folgenden Information geht es um einen Trojaner [ Trojan.Botnetlog.zip ], der sich innerhalb einer Datei namens DHL_document_Nr9274.zip befindet.

Originalmail mit Inhalt:

Received-SPF: fail (server: domain of lightsoul.com does not designate 201.63.158.114 as permitted sender) client-ip=201.63.158.114; envelope-from=grudginglyr@lightsoul.com; helo=201-63-158-114.customer.tdatabrasil.net.br;
Received: from 201-63-158-114.customer.tdatabrasil.net.br (unknown [201.63.158.114])
by server.com (Postfix) with ESMTP;
Mon, 1 Feb 2010 13:23:34 +0000 (UTC)
Received: from 201.63.158.114 by dev.null; Mon, 1 Feb 2010 10:22:27 -0300
Message-ID: <000d01caa341$995a8ad0$6400a8c0@grudginglyr>
From: "DHL Support Hector Coker"
To: < ****@domain.ltd>
Subject: DHL Services. Get your parcel NR.5807
Date: Mon, 1 Feb 2010 10:22:27 -0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0006_01CAA341.995A8AD0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2314.1300
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2314.1300

Und zu guter letzt die Fehlermeldung seitens Dr.Web:

Dear Postmaster,

the message with following attributes has not been delivered,
because contains an infected object.

Sender = grudginglyr@lightsoul.com (may be forged) Recipients = ****@domain.ltd
Subject = DHL Services. Get your parcel NR.5807
Message-ID = <000d01caa341$995a8ad0$6400a8c0@grudginglyr>

--- Dr.Web report ---
Following virus(es) has been found:
Known virus(es):
Trojan.Botnetlog.zip

Dr.Web detailed report:
127.0.0.1 [9275] drweb.tmp.K8Hjnr - archive MAIL
127.0.0.1 [9275] drweb.tmp.K8Hjnr/[text:plain] - Ok
127.0.0.1 [9275] drweb.tmp.K8Hjnr/DHL_document_Nr9274.zip infected with Trojan.Botnetlog.zip

Dr.Web scanning statistic:
Known viruses : 1

--- Dr.Web report ---

The original message was stored in archive record named:
drweb.quarantine.Wxd8tY

Nach meinem Kenntnisstand scheint es sich um eine neue veränderte Variante eines bekannten Trojaners zu sein, der noch nicht von allen AVP’s erkannt wird. Vorsicht!

Windows 7 Energieeffizienzbericht anfertigen

Adrian — Sun, 20 Dec 2009 19:00:00 +0000

Bei der Verwendung von Windows 7 auf einem Notebook / Netbook ist es sicherlich auch mal interessant zu wissen, welche Hardwarekomponenten am meisten Akkustrom verbrauchen. Dies lässt sich mit einem Konsolenbefehl ganz leicht herausfinden:

powercfg -energy -output c:\report.html

Nach der Befehlseingabe wird die Windows 7-Instanz für 60 Sekunden überwacht und protokolliert alle Ergebnisse in einer Datei namens report.html. Ein kleiner Auszug dessen:

Das war’s.

Internet Report 1981

Adrian — Sun, 15 Nov 2009 20:40:00 +0000

Nachrichten lesen am heimischen Computer war im Jahre 1981 noch Zukunftmusik und keine große Konkurrenz zu den Zeitungsverlagen.

Symantec Reporting Server Benutzer und deren Passwörterproblematiken

Adrian — Tue, 24 Mar 2009 15:35:23 +0000

Ich bin schon lange auf der Suche nach einer geeigneten Lösung für folgendes Problem. In einem Netzwerk existieren ca. 10 Rechner und 3 Server. Auf einen der drei Server ist ein Symantec Client Security 10.x Server installiert, der die 10 Rechner mit aktuellsten Virensignaturen von Symantec versorgt. Ein weiterer Server, auf dem die Reporting-Funktion des Symantec Client Security Servers installiert ist, werden Daten vom SCS Server übermittelt und ausgewertet. Der Reporting-Server richtet nur einen Nutzer ein, der sich dann auch noch “admin” (ein SCS Reporting Admin) schimpft. Weitere Benutzer oder Administratoren kann man nur über die IIS Webseite des Reporting-Servers einrichten.

Was passiert also, wenn man bei der aktiven Installation der Reporting-Funktion auf dem Reporting-Server drei mal sein Kennwort für den Nutzer “admin” eingibt? Das Benutzerkonto namens “admin” ist dann gesperrt bzw. deaktiviert. Huch? So richtige Lösungsansätze habe ich leider weder bei Symantec noch auf irgendeiner Webseite im Netz finden können. Nach ein paar Tagen der Spielerei habe ich nun eine Lösung finden können, die wie folgt aussieht:

Für das Zurücksetzen des Passwortes auf “resetme123” kann man folgende Befehlszeile verwenden. Dazu einfach auf den Reporting-Server aufschalten und im Modus Eingabeaufforderung die Befehlszeile eintippen.

[sourcecode language='sql']osql -U sa -P PASSWORD -Q “use reporting UPDATE adminuser SET password = ’6b42f8f5d4e916f55e81c97e0eeafdb1c85fe5bb’ WHERE user_name = ‘admin’”[/sourcecode]

Für die Aktivierung eines Nutzers (hier: “admin“), dessen Passwort drei Mal falsch eingegeben worden ist und sein Konto über die Webseite deaktiviert worden ist kann man folgende Befehlszeile nutzen, um diesen zu reaktivieren:

[sourcecode language='sql']osql -U sa -P PASSWORD -Q “use reporting UPDATE adminuser SET Locked = ” WHERE user_name = ‘admin’”[/sourcecode]

Weiteres wird sicherlich in Zukunft folgen. Bei Fragen nutzt den Kommentarbereich!